思科发布了3条有关ACI和NS-OX安全漏洞的严重警告

思科已经发布了三项针对其某些高端软件系统的“关键”安全建议，其中两项针对其应用服务引擎（ASE），另一项针对NX-OS操作系统。

在最令人关注的警告来自与ASE一起安装的思科应用程序中心基础设施（ACI）多站点协调器（MSO）。该漏洞被追踪为 CVE-2021-1388，在 CVSS 漏洞评分系统中排名 10（满分10分）。通过应用程序中心基础设施多占点协调器，客户可以跨基于Cisco应用程序策略基础架构控制器的光纤网络控制应用程序访问策略。

根据该公告，安装在ASE上的Cisco ACI MSO的API端点中的漏洞，未经身份验证的远程攻击者可以绕过受攻击设备上的身份验证。成功利用此漏洞可以使攻击者获得具有管理员级特权的token，这些token可用于对受影响的MSO和受管理的Cisco应用程序策略基础结构控制器（APIC）设备上的API进行身份验证。

思科称，该漏洞是由于在特定API端点上进行不正确的token验证造成的，并且当在Cisco ASE上部署时，它会影响运行3.0版软件的ACI MSO版本。

在第二个严重警告是关于ASE本身，思科称，ASE存在多个漏洞（CVE-2021-1393和 CVE-2021-1396，CVSS score 9.8），其中包括：

· 第一个漏洞，它使得攻击者有权访问运行容器或调用主机级操作的权限。该漏洞是由于对数据网络中运行的服务的访问控制不足所致。思科称，攻击者可以通过向特定服务发送特制的TCP请求来利用此漏洞。

· 另一个漏洞可以允许未经身份验证的远程攻击者访问受影响的设备上的特定API。成功利用此漏洞可以使攻击者了解特定设备的信息，在隔离的volume中创建技术支持文件，并进行有限的配置更改。该漏洞是由于对数据网络中运行的API的访问控制不足所致。攻击者可以通过向受影响的API发送特制的HTTP请求来利用此漏洞。思科称，成功利用此漏洞可以使攻击者能够了解特定设备的信息，在隔离的卷中创建技术支持文件，并进行有限的配置更改。

最后一个严重警告针对思科Nexus交换机的NS-OX操作系统，评分为9.8分（满分10分）。思科表示，运行思科 NX-OS 软件发行版 9.3（5）或9.3（6）的 Nexus 3000 和 Nexus 9000 交换机在默认情况下容易受到攻击。这可能允许恶意攻击者参与者创建、删除或覆盖设备上具有根特权的任意文件，包括允许攻击者在设备管理员不知情的情况下添加用户账户。思科表示：“这个漏洞的存在是因为 TCP 端口9075 被错误地配置为侦听和响应外部连接请求。攻击者可以通过将特制的TCP 数据包发送到TCP 端口9075 的本地接口上配置的IP 地址来利用此漏洞。”

“攻击者可以通过将特制的TCP数据包发送到TCP端口9075本地接口上配置的IP地址来利用此漏洞。成功利用该漏洞可以使攻击者能够创建、删除或覆盖具有根特权的任意文件，包括敏感文件。”思科说，“例如，攻击者可以在设备管理员不知情的情况下添加用户帐户。”

思科已经发布了解决关键漏洞的免费安全补丁，并建议客户尽快访问此处(https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html)以获取更多信息。

关于NS-OX和Nexus交换机产品组合，思科也发布了许多其他不太严重的建议，其中一个警告描述了Cisco NX-OS软件的NX-API特性中的一个漏洞，该漏洞可以让未经身份验证的远程攻击者对受影响的系统实施跨站请求伪造(CSRF)攻击。成功的利用可以让攻击者以受影响用户的权限级别执行任意操作。思科表示，攻击者可以查看并修改设备配置。

另一个警告描述了Cisco Nexus 9000系列结构交换机在以应用程序为中心的基础结构（ACI）模式下的结构基础结构VLAN连接建立中的漏洞，该漏洞可能允许未经身份验证的相邻攻击者绕过安全验证并将未经授权的服务器连接到基础结构VLAN。思科称，通过与基础架构VLAN的连接，攻击者可以在未经授权的状态下连接到Cisco APIC服务连接或加入其他主机端点。

思科表示已经发布了免费软件更新来解决这些问题。