思科修复了IOS XE虚拟服务容器中的严重错误

 
思科今天发布了其IOS XE操作系统的更新，以修补一个关键漏洞，该漏洞可能允许远程攻击者绕过运行过时版虚拟服务容器的设备上的身份验证。
虚拟服务容器用于在隔离环境中运行进程。它们作为开放虚拟应用程序(OVA)包提供，可以运行用于各种目的的应用程序。
管理员可以为机器配备故障排除工具，实现常见网络功能或分析和监控的工具。常见的用途是扩展主机网络的功能。
以下产品受此安全漏洞影响：
Cisco 4000系列集成多业务路由器
Cisco ASR 1000系列聚合服务路由器
思科云服务路由器1000V系列
思科集成服务虚拟路由器
如果通过简单地向目标设备发送恶意HTTP请求来满足特定条件，则可以进行利用。如果管理员进入REST API接口，则攻击者可以获得其“令牌ID”并使用提升的权限运行命令。
除了管理员进行身份验证之外，目标设备还需要启用易受攻击版本的Cisco REST API虚拟服务容器。
网络管理员应安装REST API虚拟设备容器的版本16.09.03(“iosxe-remote-mgmt.16.09.03.ova”)，该版本修补了身份验证绕过错误。为了进一步保护客户，思科发布了IOS XE软件的强化版本，该软件不允许安装或激活易受攻击的容器设备。
“如果设备已配置了活动易受攻击的容器，则IOS XE软件升级将停用容器，使设备不易受攻击。在这种情况下，要恢复REST API功能，客户应升级Cisco REST API虚拟服务容器一个固定的软件版本。“ – 思科
该公司在该漏洞的安全公告中表示，没有可用的解决方法。思科的产品安全事件响应小组(PSIRT)未发现此漏洞正在被利用。
除此通报外，该公司还针对影响统一计算系统(UCS)结构互连，FXOS，NX-OS和Nexus 9000系列光纤交换机的其他九个中高级别问题发布了安全公告。