近日，思科修復(fù)了云服務(wù)產(chǎn)品線上包括云服務(wù)平臺（CSP），可擴(kuò)展 Firepower 操作系統(tǒng)（FXOS），NX-OS軟件以及一些小型企業(yè) IP 電話上的高危漏洞。

此次修復(fù)最嚴(yán)重的漏洞是 CVE-2017-12251，攻擊者可不經(jīng)過授權(quán)訪問云平臺2100。

有很多機(jī)構(gòu)都使用該平臺搭建思科或第三方的虛擬服務(wù)。

該漏洞存在于 Cisco 云服務(wù)平臺（CSP）2100 的 Web console中，未授權(quán)的遠(yuǎn)程攻擊者可以利用該漏洞與受影響 CSP 設(shè)備服務(wù)或虛擬機(jī)（VM）進(jìn)行惡意交互。

security advisory表示：

該漏洞利用了這一代 Web console 中 URL 的某些授權(quán)機(jī)制不完善。攻擊者可以通過瀏覽 Cisco CSP 中托管的虛擬機(jī)的一個 URL 來查看 Web 應(yīng)用授權(quán)控制的特定模式。攻擊者可以利用該漏洞連接 CSP 上的 VM，這樣整個系統(tǒng)就失去機(jī)密性，完整性和可用性了。

該漏洞會影響云服務(wù)平臺 2100 的 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 和 2.2.2版本，思科已經(jīng)發(fā)布了新版本 2.2.3 來解決這個問題。

思科表示，在野暫時還沒有發(fā)現(xiàn)類似的攻擊。

security advisory 補(bǔ)充說道：

思科的安全事件響應(yīng)小組（PSIRT）還沒有完全意識到此次事件中漏洞利用的詳細(xì)情況。

此次思科還通報(bào)了 DoS 的高危漏洞——CVE-2017-3883，可以影響 FXOS 和 NX-OS 軟件的認(rèn)證，授權(quán)，計(jì)費(fèi)（AAA）過程。

攻擊者可以利用該漏洞對配有 AAA 安全服務(wù)的設(shè)備進(jìn)行強(qiáng)行登錄攻擊。

遠(yuǎn)程攻擊者可以利用可擴(kuò)展 Firepower 操作系統(tǒng)（FXOS）和NX-OS系統(tǒng)軟件中的漏洞對受影響的設(shè)備重新加載。

該漏洞還會影響 Firepower ，Nexus，多層交換機(jī)和一些計(jì)算系統(tǒng)產(chǎn)品。

第一個 CVE-2017-12260 漏洞會影響思科 Small Business SPA50x, SPA51x 和 SPA52x 系列 IP 電話中的進(jìn)程初始化協(xié)議（SIP），第二個漏洞 CVE-2017-12259只會影響 SPA51x 系列電話中的相關(guān)協(xié)議。

利用以上漏洞，未授權(quán)的攻擊者可以發(fā)送特殊的 SIP 請求到目標(biāo)設(shè)備，從而發(fā)動 DoS 攻擊。

對于近期出現(xiàn)的KRACK vulnerability，很多思科產(chǎn)品也受到了影響，思科也已經(jīng)發(fā)布了最新的安全更新，并著手調(diào)查這一事件。