首页 > 安全研究 > 安全通报 > 安全通告

Cisco ACI MSO API身份验证绕过漏洞(CVE-2021-1388)

发布时间 2021-02-25

0x00 漏洞概述

CVE  ID

CVE-2021-1388

时   间

2021-02-25

类   型

身份验证绕过

等   级

严重

远程利用

影响范围

Cisco ACI MSO 3.0

 

0x01 漏洞详情

image.png

 

Cisco Multi-Site Orchestrator(MSO)可通过运营商可以实现混合云方案,在DCNM、ACI、云和跨域的边缘范围内定义和协调网络策略。

2021年02月24日,Cisco发布安全公告,修复了Cisco ACI MSO API接口上的一个严重的身份验证绕过漏洞(CVE-2021-1388),该漏洞的CVSS评分为10.0。

该漏洞是特定API接口上的token验证不正确造成的。攻击者可以通过向受影响的API发送恶意请求来利用此漏洞。成功利用此漏洞的攻击者能够获得具有管理员权限的token,最终绕过受影响设备上的身份验证。

该漏洞仅影响Cisco ACI MSO 3.0版本(Cisco ACI MSO 3.0(1i)版本不受影响),并且仅在部署于Cisco Application Services Engine统一应用托管平台上时才受影响。

此外,Cisco还修复了Cisco Application Services Engine(Cisoc应用服务引擎)中的一个严重的未授权访问漏洞(CVE-2021-1393)和Cisco NX-OS中的一个任意文件操作漏洞(CVE-2021-1361),这2个漏洞的CVSS评分均为9.8。攻击者可以通过利用这些漏洞未授权访问设备、更改配置、创建、删除或以root权限覆盖任意文件。 

 

0x02 处置建议

目前该漏洞已被修复,建议及时升级到Cisco ACI MSO 3.0(3m)版本。

下载链接:

https://software.cisco.com/download/home

 

0x03 参考链接

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-authbyp-bb5GmBQv?

https://www.bleepingcomputer.com/news/security/cisco-fixes-maximum-severity-mso-auth-bypass-vulnerability/

 

0x04 时间线

2021-02-24  Cisco发布安全公告

2021-02-25  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png

 

上一篇 下一篇