Cisco为交换机、防火墙解开26个安全补丁

admin

思科正在修补Nexus3000、3500、7000、9000交换机和FirePower4100系列下一代防火墙和FirePower9300安全设备的软件漏洞。

防火墙

Cisco已经捆绑了25个安全建议，描述了Cisco NX-OS交换机和FirePower FXOS防火墙软件中的26个漏洞。
尽管26个警报描述了安全影响评级为“高”的漏洞，但大多数（23个）都会影响Cisco NX-OS软件，其余三个都涉及这两个软件包。
Cisco说，这些漏洞跨越了许多问题，这些问题会让攻击者获得未经授权的访问、获得提升的权限、执行任意命令、逃离受限制的外壳、绕过系统映像验证检查或导致拒绝服务（DoS）情况。
该公司表示，该公司已经发布了针对所有漏洞的软件修复程序，并且没有任何问题影响到Cisco iOS软件或Cisco iOS XE软件。
有关哪些Cisco FXOS软件和Cisco NX-OS软件版本易受攻击以及如何处理的信息，请参阅咨询的“固定软件”部分。
LDAP实现漏洞
在Cisco FXOS和Cisco NX-OS软件中，轻量级目录访问协议（LDAP）功能的实现中发现了最严重的漏洞（常见的漏洞评分系统评级为8.6/10）。Cisco表示，该问题可能会让未经身份验证的远程攻击者导致受影响的设备重新加载，从而导致拒绝服务（DoS）情况。
“这些漏洞是由于受影响的设备对LDAP数据包的分析不当造成的。攻击者可以通过向受影响的设备发送使用基本编码规则（BER）编写的LDAP包来利用这些漏洞，”Cisco写道。“LDAP数据包必须具有在目标设备上配置的LDAP服务器的源IP地址。”
从FirePower 4100系列下一代防火墙和FirePower 9300安全设备到MDS 9000系列多层交换机、Nexus 3000、3500、7000、9000系列交换机和UCS 6200、6300系列结构互连，该漏洞会影响许多产品。
四分法分析漏洞
另一个排名很高的漏洞是，在独立NX-OS模式下，用于Nexus 9000系列交换机的Cisco Tetration Analytics代理中，该代理允许经过身份验证的本地攻击者执行任意根代码。攻击者可以通过用恶意代码替换有效的代理文件来利用此漏洞。思科在公告中说，成功的攻击可能导致攻击者提供的代码被执行。该漏洞是由于错误的权限设置造成的。
Cisco Tetration分析系统从硬件和软件传感器收集信息，并使用大数据分析和机器学习分析信息，为IT经理提供对其数据中心资源的更深入了解。Tetration背后的理念包括显著改进企业安全监控、简化操作可靠性的能力。
Nexus软件中的几个漏洞可能会让攻击者在交换机上获得提升的权限并执行恶意命令。
思科写道，第一个弱点是用户帐户及其相关组ID的授权检查不正确。“攻击者可以利用逻辑错误来利用此漏洞，该逻辑错误允许使用比必要分配的权限更高的命令。成功利用此漏洞，攻击者可以在受影响设备的基础Linux shell上以提升的权限执行命令。”
该问题影响到Nexus 3000、3500、7000、7700、9000和系列交换机以及Nexus 9500 R系列线路卡和结构模块。
第二次曝光是由于授权执行不充分。攻击者可以通过对目标设备进行身份验证并执行可能导致特权提升的命令来利用此漏洞。成功利用此漏洞可能允许攻击者以管理员身份对系统进行配置更改。
该问题影响Nexus 3000、3500、3600、9000和Nexus 9500 R系列线卡和结构。
保护POAP设置工具的警告
思科还发布了一个信息咨询思科Nexus交换机使用自动供应或零触摸部署功能称为Poweron自动供应（POAP）。
思科表示，该功能有助于实现Nexus交换机的初始部署和配置的自动化，而POAP功能在应用配置后会自行禁用。但思科表示，正确保护使用POAP的网络至关重要。
Cisco表示：“一些客户可能希望禁用POAP功能，并使用其他方法来配置开箱即用的Nexus设备。”
为此，Cisco写道，它添加了多个新命令来禁用POAP，这些命令将在重置为出厂默认值和删除配置过程中持续存在。有关保护POAP环境的指南以及有关禁用该功能的信息，请参阅详细信息和建议部分。