近日，思科修復(fù)了云服務(wù)產(chǎn)品線上包括云服務(wù)平臺（CSP），可擴展 Firepower 操作系統(tǒng)（FXOS），NX-OS軟件以及一些小型企業(yè) IP 電話上的高危漏洞。

此次修復(fù)最嚴重的漏洞是 CVE-2017-12251，攻擊者可不經(jīng)過授權(quán)訪問云平臺2100.

有很多機構(gòu)都使用該平臺搭建思科或第三方的虛擬服務(wù)。

該漏洞存在于 Cisco 云服務(wù)平臺（CSP）2100 的 Web console中，未授權(quán)的遠程攻擊者可以利用該漏洞與受影響 CSP 設(shè)備服務(wù)或虛擬機（VM）進行惡意交互。

security advisory表示：

該漏洞利用了這一代 Web console 中 URL 的某些授權(quán)機制不完善。攻擊者可以通過瀏覽 Cisco CSP 中托管的虛擬機的一個 URL 來查看 Web 應(yīng)用授權(quán)控制的特定模式。攻擊者可以利用該漏洞連接 CSP 上的 VM，這樣整個系統(tǒng)就失去機密性，完整性和可用性了。

該漏洞會影響云服務(wù)平臺 2100 的 2.1.0，新加坡電信服務(wù)器 馬來西亞服務(wù)器， 2.1.1， 2.1.2， 2.2.0， 2.2.1 和 2.2.2版本，思科已經(jīng)發(fā)布了新版本 2.2.3 來解決這個問題。

思科表示，在野暫時還沒有發(fā)現(xiàn)類似的攻擊。

security advisory 補充說道：

思科的安全事件響應(yīng)小組（PSIRT）還沒有完全意識到此次事件中漏洞利用的詳細情況。

此次思科還通報了 DoS 的高危漏洞——CVE-2017-3883，域名免費備案 directadmin購買，可以影響 FXOS 和 NX-OS 軟件的認證，授權(quán)，計費（AAA）過程。

攻擊者可以利用該漏洞對配有 AAA 安全服務(wù)的設(shè)備進行強行登錄攻擊。

遠程攻擊者可以利用可擴展 Firepower 操作系統(tǒng)（FXOS）和NX-OS系統(tǒng)軟件中的漏洞對受影響的設(shè)備重新加載。

該漏洞還會影響 Firepower ，Nexus，多層交換機和一些計算系統(tǒng)產(chǎn)品。

第一個 CVE-2017-12260 漏洞會影響思科 Small Business SPA50x， SPA51x 和 SPA52x 系列 IP 電話中的進程初始化協(xié)議（SIP），第二個漏洞 CVE-2017-12259只會影響 SPA51x 系列電話中的相關(guān)協(xié)議。

利用以上漏洞，未授權(quán)的攻擊者可以發(fā)送特殊的 SIP 請求到目標設(shè)備，從而發(fā)動 DoS 攻擊。

對于近期出現(xiàn)的KRACK vulnerability，很多思科產(chǎn)品也受到了影響，思科也已經(jīng)發(fā)布了最新的安全更新，并著手調(diào)查這一事件。