思科發佈了影響其產品的嚴重漏洞安全補丁

思科在其應用程序中心基礎設施(ACI)多站點協調器(MSO)中解決了一個最嚴重的漏洞，該漏洞容許未經身份驗證的遠程攻擊者繞過易受攻擊設備上的身份驗證。

黑客可利用漏洞進行 API 驗證

在一份公開發布的報告中，該公司表示，攻擊者能夠經過向受影響的 API 發送請求來利用此漏洞。攻擊者可能借此得到具備管理員級特權的令牌，這些令牌可用於對受影響的 MSO 和受管的 Cisco Application Policy Infrastructure Controller（APIC）設備上的 API 進行身份驗證。

該漏洞被追蹤爲 CVE-2021-1388，在 CVSS 漏洞評分系統中排名 10（滿分10分），其緣由是 Cisco ACI MSO 安裝了 Application Services Engine 的 API 端點上的一個不正確的令牌驗證。它會影響運行 3.0 版本軟件的 ACI MSO 版本。

此外，該公司還修補了思科應用服務引擎（CVE-2021-1393和 CVE-2021-1396，CVSS score 9.8）中的多個漏洞，這些漏洞可能容許遠程攻擊者訪問特權服務或特定API，從而致使運行能力容器或調用主機級操做，並瞭解「特定於設備的信息，在隔離的卷中建立技術支持文件，並進行有限的配置更改」。

思科指出，這兩個漏洞都是因爲數據網絡中運行的 API 訪問控制不足形成的。

漏洞未被惡意攻擊者利用

網絡專業人士說，上述三個漏洞是在內部安全測試中發現的，但他補充說，沒有發現惡意企圖利用這些漏洞。

最後，思科修復了一個漏洞（CVE-2021-1361，CVSS scores 9.8），該漏洞用於爲思科 Nexus 3000 系列交換機和思科 Nexus 9000 系列交換機提供內部文件管理服務。

該公司警告說，這可能容許惡意攻擊者參與者建立、刪除或覆蓋設備上具備根特權的任意文件，包括容許攻擊者在設備管理員不知情的狀況下添加用戶帳戶。

思科表示，運行思科 NX-OS 軟件發行版 9.3（5）或9.3（6）的 Nexus 3000 和 Nexus 9000 交換機在默認狀況下容易受到攻擊。

思科在概述中提到，「這個漏洞的存在是由於 TCP 端口 9075 被錯誤地配置爲偵聽和響應外部鏈接請求。攻擊者能夠經過將特製的 TCP 數據包發送到 TCP 端口 9075 的本地接口上配置的 IP 地址來利用此漏洞。」

幾周前，思科對其小型企業路由器中的多達 44 個漏洞進行了修正，這些缺陷可能容許未經身份驗證的遠程攻擊者做爲根用戶執行任意代碼，甚至致使拒絕服務。