近日,思科修复了云服务产品线上包括云服务平台(CSP),可扩展 Firepower 操作系统(FXOS),NX-OS软件以及一些小型企业 IP 电话上的高危漏洞。

思科

此次修复最严重的漏洞是 CVE-2017-12251,攻击者可不经过授权访问云平台2100.

有很多机构都使用该平台搭建思科或第三方的虚拟服务。

该漏洞存在于 Cisco 云服务平台(CSP)2100 的 Web console中,未授权的远程攻击者可以利用该漏洞与受影响 CSP 设备服务或虚拟机(VM)进行恶意交互。

security advisory表示:

该漏洞利用了这一代 Web console 中 URL 的某些授权机制不完善。攻击者可以通过浏览 Cisco CSP 中托管的虚拟机的一个 URL 来查看 Web 应用授权控制的特定模式。攻击者可以利用该漏洞连接 CSP 上的 VM,这样整个系统就失去机密性,完整性和可用性了。

该漏洞会影响云服务平台 2100 的 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 和 2.2.2版本,思科已经发布了新版本 2.2.3 来解决这个问题。

思科表示,在野暂时还没有发现类似的攻击。

security advisory 补充说道:

思科的安全事件响应小组(PSIRT)还没有完全意识到此次事件中漏洞利用的详细情况。

此次思科还通报了 DoS 的高危漏洞——CVE-2017-3883,可以影响 FXOS 和 NX-OS 软件的认证,授权,计费(AAA)过程。

攻击者可以利用该漏洞对配有 AAA 安全服务的设备进行强行登录攻击。

远程攻击者可以利用可扩展 Firepower 操作系统(FXOS)和NX-OS系统软件中的漏洞对受影响的设备重新加载。

该漏洞还会影响 Firepower ,Nexus,多层交换机和一些计算系统产品。

第一个 CVE-2017-12260 漏洞会影响思科 Small Business SPA50x, SPA51x 和 SPA52x 系列 IP 电话中的进程初始化协议(SIP),第二个漏洞 CVE-2017-12259只会影响 SPA51x 系列电话中的相关协议。

利用以上漏洞,未授权的攻击者可以发送特殊的 SIP 请求到目标设备,从而发动 DoS 攻击。

对于近期出现的KRACK vulnerability,很多思科产品也受到了影响,思科也已经发布了最新的安全更新,并着手调查这一事件。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-01-03 10:04:41
云安全 互金专委会警示风险,共发现互金网站技术漏洞7210个
1月2日,国家互联网金融安全技术专家委员会(下称互金专委会)发布互联网金融网站漏洞分析报告。专委会表示,本次监测分析覆盖北京、深圳、浙江等省市共1529家互联网金融平台 <详情>
2017-12-11 09:53:19
国际资讯 节省80%的云成本 思科决定收购这家印度公司
Cmpute.io运行的SaaS平台可以帮助用户省钱,其方法是将工作负载放在AWS(亚马逊网络服务)现货实例(Spot instance)里。现货实例是亚马逊的短期服务器租用解决方案。Cmput <详情>
2017-11-24 09:47:23
国际资讯 SD-WAN市场2020年将达33亿美元
根据IHS Markit的《数据中心和企业SDN硬件及软件一年两次市场追踪》报告显示,SD-WAN是一个比较小的市场,2017年上半年全球收入为1.37亿美元。不过,随着服务提供商越来越 <详情>
2017-11-16 15:44:00
云资讯 企业协作云SaaS服务商科天云 发布协作云开放平台
2017年11月16日,由思科与TCL共同投资的云计算SaaS服务商科天云举办题为“科天协作体验之旅”发布会。在继承思科WebEx之外,科天云试图拓展更多企业协作场景,自主研发的云 <详情>
2017-11-15 09:33:00
国内资讯 阿里云+思科,构建下一代数据中心
中国最大的公有云服务提供商阿里云的目标是在2019年之前达到或超越AWS的公有云市场规模,为此阿里云即将在北京建立的数据中心将会采用思科的技术来实现。 <详情>