云安全日报200820：思科发现默认静态密码高危漏洞，可获取管理特权，需要尽快升级

时间：2020-09-04 14:20:01

关键字：云安全思科漏洞虚拟化

手机看文章

扫描二维码
随时随地手机看文章

[导读]根据思科(Cisco)8月19日安全公告显示，思科产品爆出高危漏洞，需要尽快升级。以下是漏洞详情：漏洞详情来源： https://tools.cisco.com/security/center/c

根据思科(Cisco)8月19日安全公告显示，思科产品爆出高危漏洞，需要尽快升级。以下是漏洞详情：

漏洞详情

来源：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-waas-encsw-cspw-cred-hZzL29A7

Cisco vWAAS for Cisco ENCS 5400-W系列和CSP 5000-W系列默认证书漏洞（CVE-2020-3446）

CSS评分：9.8 高危

思科虚拟广域应用服务 (Cisco vWAAS) 是一种针对企业和服务提供商的虚拟设备，可加速从私有和虚拟私有云基础架构交付的业务应用程序。Cisco vWAAS使您能够以最少的网络配置或中断快速创建WAN优化服务。思科vWAAS可以部署在物理数据中心，私有云以及服务提供商提供的虚拟私有云中。

思科企业网络计算系列（ENCS）用于托管思科企业网络功能虚拟化（NFV）解决方案。ENCS还用于在Cisco Enterprise NFV上部署Cisco NFV基础结构软件（NFVIS）以及Cisco和第三方虚拟化网络功能（VNF）。NFV是将网络功能虚拟化的技术，例如可以通过IT领域的虚拟化技术，实现传统通信网络的功能。VNF可以理解为被虚拟化出来的一个个网元，例如通信网络中的MME/SGW/PGW这些网元，每种网元各自承担了通信网络中的某个网络功能(NF)。通过虚拟化技术将这些网元虚拟化后，就成了一个个的VNF。

ENCS 5400-W系列（ENCS 5406-W，5408-W和5412-W）是x86混合平台，专为Cisco Enterprise NFV解决方案，分支机构部署和托管WAAS应用程序而设计。这些高性能单元通过提供用于部署虚拟化网络功能的基础架构，同时充当解决处理，工作负载和存储挑战的服务器来实现此目标。

Cisco CSP 5000-W系列用于WAAS的思科云服务平台（CSP-W）是用于部署思科数据中心网络功能虚拟化（VNF）的思科开放x86硬件平台。Cisco CSP 5000-W系列包含一个嵌入式KVM CentOS虚拟机管理程序，使您能够在NFVIS上部署，监视和管理vWAAS的生命周期。

针对Cisco ENCS 5400-W系列和CSP 5000-W系列设备的带有Cisco Enterprise NFV基础设施软件（NFVIS）捆绑映像的Cisco虚拟广域应用服务（vWAAS）中的漏洞可能允许未经身份验证的远程攻击者登录NFVIS通过使用具有默认静态密码的帐户的受影响设备的命令行界面（CLI）。

存在此漏洞是因为受影响的软件具有使用默认静态密码的用户帐户。有权访问受影响设备的NFVIS CLI的攻击者可以通过登录CLI来利用此漏洞。成功利用此漏洞可能使攻击者以管理员权限访问NFVIS CLI 。

为了利用此漏洞，攻击者需要能够连接到受影响设备上的NFVIS CLI。这将需要访问以下内容之一：

受影响的ENCS 5400-W系列设备上CPU的以太网管理端口。如果配置了路由IP，则可以远程访问此接口。

受影响的CSP 5000-W系列设备上四端口I350 PCIe以太网适配器卡上的第一个端口。如果配置了路由IP，则可以远程访问此接口。

与vWAAS软件CLI的连接和有效的用户凭证，该凭证首先要在vWAAS CLI上进行身份验证。

与ENCS 5400-W系列或CSP 5000-W系列设备的Cisco集成管理控制器（CIMC）接口的连接，以及一个有效的用户凭证，该凭证首先需要对CIMC进行身份验证。

受影响产品

如果运行带有NFVIS捆绑映像版本6.4.5或6.4.3d及更早版本的Cisco vWAAS，则此漏洞会影响Cisco ENCS 5400-W系列和CSP 5000-W系列设备。

思科已确认此漏洞不会影响在Cisco ENCS 5000系列和Cisco CSP 5000系列设备上运行的独立NFVIS，也不会影响在思科广域网虚拟化引擎（WAVE）设备上运行的独立vWAAS软件或WAAS软件。

解决方案

思科使用NFVIS捆绑映像版本6.4.3e，6.4.5a和更高版本修复了Cisco vWAAS中的此漏洞。

注意：ENCS 5400-W系列和CSP 5000-W系列设备不支持从早期版本直接升级到vWAAS 6.4.3e和6.4.5a版本。为了运行修复版本，客户必须使用所需版本的ENCS 5400-W和CSP 5000-W设备的Cisco WAAS统一软件包进行全新安装。建议客户联系其支持组织，以获取迁移到修复版本所需的任何帮助。

查看更多漏洞信息以及升级请访问官网：

https://tools.cisco.com/security/center/publicationListing.x