近日，思科修復了云服務產品線上包括云服務平臺（CSP），可擴展 Firepower 操作系統（FXOS），NX-OS軟件以及一些小型企業 IP 電話上的高危漏洞。

此次修復最嚴重的漏洞是 CVE-2017-12251，攻擊者可不經過授權訪問云平臺2100.

有很多機構都使用該平臺搭建思科或第三方的虛擬服務。

該漏洞存在于 Cisco 云服務平臺（CSP）2100 的 Web console中，未授權的遠程攻擊者可以利用該漏洞與受影響 CSP 設備服務或虛擬機（VM）進行惡意交互。

security advisory表示：

該漏洞利用了這一代 Web console 中 URL 的某些授權機制不完善。攻擊者可以通過瀏覽 Cisco CSP 中托管的虛擬機的一個 URL 來查看 Web 應用授權控制的特定模式。攻擊者可以利用該漏洞連接 CSP 上的 VM，這樣整個系統就失去機密性，完整性和可用性了。

該漏洞會影響云服務平臺 2100 的 2.1.0，新加坡電信服務器 馬來西亞服務器， 2.1.1， 2.1.2， 2.2.0， 2.2.1 和 2.2.2版本，思科已經發布了新版本 2.2.3 來解決這個問題。

思科表示，在野暫時還沒有發現類似的攻擊。

security advisory 補充說道：

思科的安全事件響應小組（PSIRT）還沒有完全意識到此次事件中漏洞利用的詳細情況。

此次思科還通報了 DoS 的高危漏洞——CVE-2017-3883，域名免費備案 directadmin購買，可以影響 FXOS 和 NX-OS 軟件的認證，授權，計費（AAA）過程。

攻擊者可以利用該漏洞對配有 AAA 安全服務的設備進行強行登錄攻擊。

遠程攻擊者可以利用可擴展 Firepower 操作系統（FXOS）和NX-OS系統軟件中的漏洞對受影響的設備重新加載。

該漏洞還會影響 Firepower ，Nexus，多層交換機和一些計算系統產品。

第一個 CVE-2017-12260 漏洞會影響思科 Small Business SPA50x， SPA51x 和 SPA52x 系列 IP 電話中的進程初始化協議（SIP），第二個漏洞 CVE-2017-12259只會影響 SPA51x 系列電話中的相關協議。

利用以上漏洞，未授權的攻擊者可以發送特殊的 SIP 請求到目標設備，從而發動 DoS 攻擊。

對于近期出現的KRACK vulnerability，很多思科產品也受到了影響，思科也已經發布了最新的安全更新，并著手調查這一事件。