Cisco ACI MSO API身份验证绕过漏洞(CVE-2021-1388)
发布时间 2021-02-250x00 漏洞概述
CVE ID | CVE-2021-1388 | 时 间 | 2021-02-25 |
类 型 | 身份验证绕过 | 等 级 | 严重 |
远程利用 | 是 | 影响范围 | Cisco ACI MSO 3.0 |
0x01 漏洞详情
Cisco Multi-Site Orchestrator(MSO)可通过运营商可以实现混合云方案,在DCNM、ACI、云和跨域的边缘范围内定义和协调网络策略。
2021年02月24日,Cisco发布安全公告,修复了Cisco ACI MSO API接口上的一个严重的身份验证绕过漏洞(CVE-2021-1388),该漏洞的CVSS评分为10.0。
该漏洞是特定API接口上的token验证不正确造成的。攻击者可以通过向受影响的API发送恶意请求来利用此漏洞。成功利用此漏洞的攻击者能够获得具有管理员权限的token,最终绕过受影响设备上的身份验证。
该漏洞仅影响Cisco ACI MSO 3.0版本(Cisco ACI MSO 3.0(1i)版本不受影响),并且仅在部署于Cisco Application Services Engine统一应用托管平台上时才受影响。
此外,Cisco还修复了Cisco Application Services Engine(Cisoc应用服务引擎)中的一个严重的未授权访问漏洞(CVE-2021-1393)和Cisco NX-OS中的一个任意文件操作漏洞(CVE-2021-1361),这2个漏洞的CVSS评分均为9.8。攻击者可以通过利用这些漏洞未授权访问设备、更改配置、创建、删除或以root权限覆盖任意文件。
0x02 处置建议
目前该漏洞已被修复,建议及时升级到Cisco ACI MSO 3.0(3m)版本。
下载链接:
https://software.cisco.com/download/home
0x03 参考链接
https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-authbyp-bb5GmBQv?
https://www.bleepingcomputer.com/news/security/cisco-fixes-maximum-severity-mso-auth-bypass-vulnerability/
0x04 时间线
2021-02-24 Cisco发布安全公告
2021-02-25 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/