思科修补NFV基础架构软件重大漏洞

思科上周针对网络虚拟化设备一项可能允许攻击者接管设备的重大漏洞，释出更新软件，呼吁用户应尽速安装。

这项漏洞发生在Cisco Enterprise Network Function Virtualization Infrastructure Software（NFVIS）4.5.1版本中的TACACS+ AAA（authentication, authorization and accounting）功能中。NSVIS主要是利用虚拟化和抽象化底层硬件，以管理分支机构的路由器、防火墙、网络控制器等设备。

这项漏洞编号CVE-2021-34746，出于TACACS+ AAA功能对使用者呼叫的验证不完善，攻击者可在呼叫中注入参数开采漏洞。成功开采可让远端攻击者绕过验证，以管理员身份登入问题设备，进而接管该设备，这意谓着他可以借此执行任意指令，包括删改档案或执行恶意程式。

该漏洞风险值9.8，影响有启动外部验证的设备。思科已释出最新的NSVIS 4.6.1解决问题。

本漏洞最早由Orange Group的研究人员Cyrille Chatras发现并通报。思科产品安全事件回应小组虽然还未发现有使用这漏洞的恶意活动，但已得知网络上有针对这漏洞的概念验证（PoC）程式。

美国网络安全暨基础架构管理署（CISA）也发出安全公告，呼吁企业管理员采取行动。