思科上周針對網(wǎng)絡(luò)虛擬化設(shè)備一項可能允許攻擊者接管設(shè)備的重大漏洞，推出更新軟件，呼吁用戶應(yīng)盡速安裝。

　　這項漏洞發(fā)生在Cisco Enterprise Network Function Virtualization Infrastructure Software（NFVIS）4.5.1版本中的TACACS+ AAA（authentication, authorization and accounting）功能中。NSVIS主要是利用虛擬化和抽象化底層硬體，以管理分支機構(gòu)的路由器、防火墻、網(wǎng)絡(luò)控制器等設(shè)備。

　　這項漏洞編號CVE-2021-34746，出于TACACS+ AAA功能對使用者呼叫的驗證不完善，攻擊者可在呼叫中注入?yún)��?shù)開采漏洞。成功開采可讓遠(yuǎn)端攻擊者繞過驗證，以管理員身分登入問題設(shè)備，進而接管該設(shè)備，這意謂著他可以藉此執(zhí)行任意指令，包括刪改檔案或執(zhí)行惡意程式。

　　該漏洞風(fēng)險值9.8，影響有啟動外部驗證的設(shè)備。思科已推出最新的NSVIS 4.6.1解決問題。

　　本漏洞最早由Orange Group的研究人員Cyrille Chatras發(fā)現(xiàn)并通報。思科產(chǎn)品安全事件回應(yīng)小組雖然還未發(fā)現(xiàn)有使用這漏洞的惡意活動，但已得知網(wǎng)絡(luò)上有針對這漏洞的概念驗證（PoC）程式。

　　美國網(wǎng)絡(luò)安全暨基礎(chǔ)架構(gòu)管理署（CISA）也發(fā)出安全公告，呼吁企業(yè)管理員采取行動。