导读 思科已修补其企业网络功能虚拟化基础设施软件 (NFVIS) 中的一个关键身份验证绕过漏洞,该漏洞可被利用以允许远程攻击者绕过身份验证并以

思科已修补其企业网络功能虚拟化基础设施软件 (NFVIS) 中的一个关键身份验证绕过漏洞,该漏洞可被利用以允许远程攻击者绕过身份验证并以设备管理员身份登录。跟踪编号为 CVE-2021-34746 的漏洞是在 NFVIS 的 TACACS+ 身份验证、授权和记账 (AAA) 功能中发现的。

“此漏洞是由于对传递给身份验证脚本的用户提供的输入的验证不完整。攻击者可以通过在身份验证请求中注入参数来利用此漏洞,”思科在其公告中分享道。

我们正在研究我们的读者如何将 VPN 与 Netflix 等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过 60 秒的时间,如果您能与我们分享您的经验,我们将不胜感激。

>

思科将企业 NFVIS 描述为基于Linux的基础设施软件,可帮助企业在受支持的思科设备上部署虚拟化网络功能,例如虚拟路由器或防火墙。

根据思科的公告,该漏洞仅存在于企业 NFVIS v4.5.1 版本中。即使在运行此易受攻击版本的设备上,也只有在启用 TACACS 外部身份验证方法的情况下才能利用该漏洞。

也就是说,除了未经身份验证的用户可以远程利用该漏洞之外,它具有公开可用的概念验证利用代码这一事实使其成为主要威胁。

思科表示,没有解决方法可以消除此安全漏洞暴露的攻击向量。相反,该公司敦促所有用户升级到 Enterprise NFVIS 版本 v4.6.1 或更高版本,其中包含针对该漏洞的修复程序。

与此同时,该公司向用户保证,它不知道任何正在进行的漏洞利用。