云安全日报200820:思科发现默认静态密码高危漏洞,可获取管理特权,需要尽快升级
扫描二维码
随时随地手机看文章
根据思科(Cisco)8月19日安全公告显示,思科产品爆出高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-waas-encsw-cspw-cred-hZzL29A7
Cisco vWAAS for Cisco ENCS 5400-W系列和CSP 5000-W系列默认证书漏洞(CVE-2020-3446)
CSS评分 :9.8 高危
思科虚拟广域应用服务 (Cisco vWAAS) 是一种针对企业和服务提供商的虚拟设备,可加速从私有和虚拟私有云基础架构交付的业务应用程序。Cisco vWAAS使您能够以最少的网络配置或中断快速创建WAN优化服务。思科vWAAS可以部署在物理数据中心,私有云以及服务提供商提供的虚拟私有云中。
思科企业网络计算系列(ENCS)用于托管思科企业网络功能虚拟化(NFV)解决方案。ENCS还用于在Cisco Enterprise NFV上部署Cisco NFV基础结构软件(NFVIS)以及Cisco和第三方虚拟化网络功能(VNF)。NFV是将网络功能虚拟化的技术,例如可以通过IT领域的虚拟化技术,实现传统通信网络的功能。VNF可以理解为被虚拟化出来的一个个网元,例如通信网络中的MME/SGW/PGW这些网元,每种网元各自承担了通信网络中的某个网络功能(NF)。通过虚拟化技术将这些网元虚拟化后,就成了一个个的VNF。
ENCS 5400-W系列(ENCS 5406-W,5408-W和5412-W)是x86混合平台,专为Cisco Enterprise NFV解决方案,分支机构部署和托管WAAS应用程序而设计。这些高性能单元通过提供用于部署虚拟化网络功能的基础架构,同时充当解决处理,工作负载和存储挑战的服务器来实现此目标。
Cisco CSP 5000-W系列用于WAAS的思科云服务平台(CSP-W)是用于部署思科数据中心网络功能虚拟化(VNF)的思科开放x86硬件平台。Cisco CSP 5000-W系列包含一个嵌入式KVM CentOS虚拟机管理程序,使您能够在NFVIS上部署,监视和管理vWAAS的生命周期。
针对Cisco ENCS 5400-W系列和CSP 5000-W系列设备的带有Cisco Enterprise NFV基础设施软件(NFVIS)捆绑映像的Cisco虚拟广域应用服务(vWAAS)中的漏洞可能允许未经身份验证的远程攻击者登录NFVIS通过使用具有默认静态密码的帐户的受影响设备的命令行界面(CLI)。
存在此漏洞是因为受影响的软件具有使用默认静态密码的用户帐户。有权访问受影响设备的NFVIS CLI的攻击者可以通过登录CLI来利用此漏洞。成功利用此漏洞可能使攻击者以管理员权限访问NFVIS CLI 。
为了利用此漏洞,攻击者需要能够连接到受影响设备上的NFVIS CLI。这将需要访问以下内容之一:
受影响的ENCS 5400-W系列设备上CPU的以太网管理端口。如果配置了路由IP,则可以远程访问此接口。
受影响的CSP 5000-W系列设备上四端口I350 PCIe以太网适配器卡上的第一个端口。如果配置了路由IP,则可以远程访问此接口。
与vWAAS软件CLI的连接和有效的用户凭证,该凭证首先要在vWAAS CLI上进行身份验证。
与ENCS 5400-W系列或CSP 5000-W系列设备的Cisco集成管理控制器(CIMC)接口的连接,以及一个有效的用户凭证,该凭证首先需要对CIMC进行身份验证。
受影响产品
如果运行带有NFVIS捆绑映像版本6.4.5或6.4.3d及更早版本的Cisco vWAAS,则此漏洞会影响Cisco ENCS 5400-W系列和CSP 5000-W系列设备。
思科已确认此漏洞不会影响在Cisco ENCS 5000系列和Cisco CSP 5000系列设备上运行的独立NFVIS,也不会影响在思科广域网虚拟化引擎(WAVE)设备上运行的独立vWAAS软件或WAAS软件。
解决方案
思科使用NFVIS捆绑映像版本6.4.3e,6.4.5a和更高版本修复了Cisco vWAAS中的此漏洞。
注意:ENCS 5400-W系列和CSP 5000-W系列设备不支持从早期版本直接升级到vWAAS 6.4.3e和6.4.5a版本。为了运行修复版本,客户必须使用所需版本的ENCS 5400-W和CSP 5000-W设备的Cisco WAAS统一软件包进行全新安装。建议客户联系其支持组织,以获取迁移到修复版本所需的任何帮助。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
下载文档
