前言

近日，思科修復了雲服務產品線上包括雲服務平臺（CSP），可擴展 Firepower 操作系統（FXOS），NX-OS軟件以及一些小型企業 IP 電話上的高危漏洞。

此次修復最嚴重的漏洞是 CVE-2017-12251，攻擊者可不經過授權訪問雲平臺2100。有很多機構都使用該平臺搭建思科或第三方的虛擬服務。該漏洞存在於 Cisco 雲服務平臺（CSP）2100 的 Web console中，未授權的遠程攻擊者可以利用該漏洞與受影響 CSP 設備服務或虛擬機（VM）進行惡意交互。

security advisory 表示：

該漏洞利用了這一代 Web console 中 URL 的某些授權機制不完善。攻擊者可以通過瀏覽 Cisco CSP 中托管的虛擬機的一個 URL 來查看 Web 應用授權控制的特定模式。攻擊者可以利用該漏洞連接 CSP 上的 VM，這樣整個系統就失去機密性，完整性和可用性了。

該漏洞會影響雲服務平臺 2100 的 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 和 2.2.2版本，思科已經發布了新版本 2.2.3 來解決這個問題。

思科表示，在野暫時還沒有發現類似的攻擊。

security advisory 補充說道：

思科的安全事件響應小組（PSIRT）還沒有完全意識到此次事件中漏洞利用的詳細情況。

此次思科還通報了 DoS 的高危漏洞——CVE-2017-3883，可以影響 FXOS 和 NX-OS 軟件的認證，授權，計費（AAA）過程。

攻擊者可以利用該漏洞對配有 AAA 安全服務的設備進行強行登錄攻擊。

遠程攻擊者可以利用可擴展 Firepower 操作系統（FXOS）和NX-OS系統軟件中的漏洞對受影響的設備重新加載。

該漏洞還會影響 Firepower ，Nexus，多層交換機和一些計算系統產品。

第一個 CVE-2017-12260 漏洞會影響思科 Small Business SPA50x, SPA51x 和 SPA52x 系列 IP 電話中的進程初始化協議（SIP），第二個漏洞 CVE-2017-12259只會影響 SPA51x 系列電話中的相關協議。

利用以上漏洞，未授權的攻擊者可以發送特殊的 SIP 請求到目標設備，從而發動 DoS 攻擊。

對於近期出現的KRACK vulnerability，很多思科產品也受到了影響，思科也已經發布了最新的安全更新，並著手調查這一事件。

*參考來源：securityaffairs ，FB小編 Liki 編譯，轉載請註明來自FreeBuf.COM

總結！開始走向漏洞之路......

本文出自 “李世龍” 博客，謝絕轉載！

Cisco 修復雲服務平臺重大漏洞