思科上周針對(duì)網(wǎng)絡(luò)虛擬化設(shè)備一項(xiàng)可能允許攻擊者接管設(shè)備的重大漏洞，推出更新軟件，呼吁用戶應(yīng)盡速安裝。

　　這項(xiàng)漏洞發(fā)生在Cisco Enterprise Network Function Virtualization Infrastructure Software（NFVIS）4.5.1版本中的TACACS+ AAA（authentication, authorization and accounting）功能中。NSVIS主要是利用虛擬化和抽象化底層硬體，以管理分支機(jī)構(gòu)的路由器、防火墻、網(wǎng)絡(luò)控制器等設(shè)備。

　　這項(xiàng)漏洞編號(hào)CVE-2021-34746，出于TACACS+ AAA功能對(duì)使用者呼叫的驗(yàn)證不完善，攻擊者可在呼叫中注入?yún)��?shù)開采漏洞。成功開采可讓遠(yuǎn)端攻擊者繞過驗(yàn)證，以管理員身分登入問題設(shè)備，進(jìn)而接管該設(shè)備，這意謂著他可以藉此執(zhí)行任意指令，包括刪改檔案或執(zhí)行惡意程式。

　　該漏洞風(fēng)險(xiǎn)值9.8，影響有啟動(dòng)外部驗(yàn)證的設(shè)備。思科已推出最新的NSVIS 4.6.1解決問題。

　　本漏洞最早由Orange Group的研究人員Cyrille Chatras發(fā)現(xiàn)并通報(bào)。思科產(chǎn)品安全事件回應(yīng)小組雖然還未發(fā)現(xiàn)有使用這漏洞的惡意活動(dòng)，但已得知網(wǎng)絡(luò)上有針對(duì)這漏洞的概念驗(yàn)證（PoC）程式。

　　美國網(wǎng)絡(luò)安全暨基礎(chǔ)架構(gòu)管理署（CISA）也發(fā)出安全公告，呼吁企業(yè)管理員采取行動(dòng)。