近日，思科修复了云服务产品线上包括云服务平台（CSP），可扩展 Firepower 操作系统（FXOS），NX-OS软件以及一些小型企业 IP 电话上的高危漏洞。

此次修复最严重的漏洞是 CVE-2017-12251，攻击者可不经过授权访问云平台2100.

有很多机构都使用该平台搭建思科或第三方的虚拟服务。

该漏洞存在于 Cisco 云服务平台（CSP）2100 的 Web console中，未授权的远程攻击者可以利用该漏洞与受影响 CSP 设备服务或虚拟机（VM）进行恶意交互。

security advisory表示：

该漏洞利用了这一代 Web console 中 URL 的某些授权机制不完善。攻击者可以通过浏览 Cisco CSP 中托管的虚拟机的一个 URL 来查看 Web 应用授权控制的特定模式。攻击者可以利用该漏洞连接 CSP 上的 VM，这样整个系统就失去机密性，完整性和可用性了。

该漏洞会影响云服务平台 2100 的 2.1.0， 2.1.1， 2.1.2， 2.2.0， 2.2.1 和 2.2.2版本，思科已经发布了新版本 2.2.3 来解决这个问题。

思科表示，在野暂时还没有发现类似的攻击。

security advisory 补充说道：

思科的安全事件响应小组（PSIRT）还没有完全意识到此次事件中漏洞利用的详细情况。

此次思科还通报了 DoS 的高危漏洞——CVE-2017-3883，可以影响 FXOS 和 NX-OS 软件的认证，授权，计费（AAA）过程。

攻击者可以利用该漏洞对配有 AAA 安全服务的设备进行强行登录攻击。

远程攻击者可以利用可扩展 Firepower 操作系统（FXOS）和NX-OS系统软件中的漏洞对受影响的设备重新加载。

该漏洞还会影响 Firepower ，Nexus，多层交换机和一些计算系统产品。

第一个 CVE-2017-12260 漏洞会影响思科 Small Business SPA50x， SPA51x 和 SPA52x 系列 IP 电话中的进程初始化协议（SIP），第二个漏洞 CVE-2017-12259只会影响 SPA51x 系列电话中的相关协议。

利用以上漏洞，未授权的攻击者可以发送特殊的 SIP 请求到目标设备，从而发动 DoS 攻击。

对于近期出现的KRACK vulnerability，很多思科产品也受到了影响，思科也已经发布了最新的安全更新，并着手调查这一事件。