根据思科8月19日的安全公告,思科产品已经暴露了高风险漏洞,需要尽快进行升级。
以下是漏洞详细信息:漏洞详细信息的来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-waas-encsw-cspw-cred-hZzL29A7Cisco vWAAS for Cisco ENCS 5400-W系列和CSP 5000-W系列默认证书漏洞(CVE-2020-3446)CSS得分:9.8高风险思科虚拟广域网应用服务(Cisco vWAAS)是面向企业和服务提供商的虚拟设备,可以从私有和私有云加速。
虚拟私有云由基础架构交付的业务应用程序。
Cisco vWAAS使您能够以最少的网络配置或中断快速创建WAN优化服务。
思科vWAAS可以部署在服务提供商提供的物理数据中心,私有云和虚拟私有云中。
思科企业网络计算系列(ENCS)用于托管思科企业网络功能虚拟化(NFV)解决方案。
ENCS还用于在Cisco Enterprise NFV上部署Cisco NFV基础架构软件(NFVIS)以及Cisco和第三方虚拟化网络功能(VNF)。
NFV是一种虚拟化网络功能的技术。
例如,可以通过IT领域的虚拟化技术来实现传统通信网络的功能。
VNF可以理解为虚拟化的网络元素,例如通信网络中的MME / SGW / PGW网络元素,每个元素都负责通信网络中的某个网络功能(NF)。
通过虚拟化技术对这些网络元素进行虚拟化后,它们将成为单独的VNF。
ENCS 5400-W系列(ENCS 5406-W,5408-W和5412-W)是x86混合平台,专为Cisco Enterprise NFV解决方案,分支机构部署和托管WAAS应用程序而设计。
这些高性能单元通过提供用于部署虚拟化网络功能的基础架构,同时充当解决处理,工作负载和存储难题的服务器,来实现这一目标。
Cisco CSP 5000-W系列WAAS思科云服务平台(CSP-W)是用于部署Cisco数据中心网络功能虚拟化(VNF)的Cisco开放式x86硬件平台。
Cisco CSP 5000-W系列包括一个嵌入式KVM CentOS虚拟机管理程序,使您能够在NFVIS上部署,监视和管理vWAAS的生命周期。
针对Cisco ENCS 5400-W系列和CSP 5000-W系列设备的带有Cisco Enterprise NFV基础设施软件(NFVIS)捆绑映像的Cisco虚拟广域网应用服务(vWAAS)中的漏洞可能允许未经身份验证的远程攻击该人员通过命令行登录NFVIS使用具有默认静态密码的帐户访问受影响设备的界面(CLI)。
存在此漏洞是因为受影响的软件具有使用默认静态密码的用户帐户。
有权访问受影响设备的NFVIS CLI的攻击者可以通过登录CLI来利用此漏洞。
成功利用此漏洞可能使攻击者能够以管理员权限访问NFVIS CLI。
为了利用此漏洞,攻击者需要能够连接到受影响设备上的NFVIS CLI。
这将需要访问以下之一:受影响的ENCS 5400-W系列设备上CPU的以太网管理端口。
如果配置了路由IP,则可以远程访问此接口。
受影响的CSP 5000-W系列设备上四端口I350 PCIe以太网适配器卡上的第一个端口。
如果配置了路由IP,则可以远程访问此接口。
与vWAAS软件CLI的连接和有效的用户凭据。
必须首先在vWAAS CLI上对凭据进行身份验证。
连接到ENCS 5400-W系列或CSP 5000-W系列设备的Cisco集成管理控制器(CIMC)接口,以及有效的用户凭证,该凭证首先需要经过CIMC身份验证。
受影响的产品运行带有NFVIS捆绑映像版本6.4.5或6.4.3d及更早版本的Cisco vWAAS,此漏洞影响Cisco ENCS 5400-W系列和CSP 5000-W系列设备。
思科已确认此漏洞不会影响在Cisco ENCS 5000系列和Cisco CSP 5000系列设备上运行的独立NFVIS,也不会影响在思科广域网虚拟化引擎(WAVE)设备上运行的独立vWAAS软件或WAAS软件。
解决方案思科使用NFVIS捆绑映像版本6.4.3e,6.4.5a及更高版本来修复Cisco vWAAS中的此漏洞。
注意:ENCS 5400-W系列和CSP 5000-W系列设备不支持从早期版本直接升级到vWAAS 6.4.3e和6.4.5a。
为了运行修复版本,客户必须为ENCS 5400-W和CSP 5000-W设备使用所需版本的Cisco WAAS统一软件包,以进行全新安装。
建议客户与他们的支持人员联系