思科上周針對網(wǎng)絡(luò )虛擬化設備一項可能允許攻擊者接管設備的重大漏洞，推出更新軟件，呼吁用戶(hù)應盡速安裝。

　　這項漏洞發(fā)生在Cisco Enterprise Network Function Virtualization Infrastructure Software（NFVIS）4.5.1版本中的TACACS+ AAA（authentication, authorization and accounting）功能中。NSVIS主要是利用虛擬化和抽象化底層硬體，以管理分支機構的路由器、防火墻、網(wǎng)絡(luò )控制器等設備。

　　這項漏洞編號CVE-2021-34746，出于TACACS+ AAA功能對使用者呼叫的驗證不完善，攻擊者可在呼叫中注入參數開(kāi)采漏洞。成功開(kāi)采可讓遠端攻擊者繞過(guò)驗證，以管理員身分登入問(wèn)題設備，進(jìn)而接管該設備，這意謂著(zhù)他可以藉此執行任意指令，包括刪改檔案或執行惡意程式。

　　該漏洞風(fēng)險值9.8，影響有啟動(dòng)外部驗證的設備。思科已推出最新的NSVIS 4.6.1解決問(wèn)題。

　　本漏洞最早由Orange Group的研究人員Cyrille Chatras發(fā)現并通報。思科產(chǎn)品安全事件回應小組雖然還未發(fā)現有使用這漏洞的惡意活動(dòng)，但已得知網(wǎng)絡(luò )上有針對這漏洞的概念驗證（PoC）程式。

　　美國網(wǎng)絡(luò )安全暨基礎架構管理署（CISA）也發(fā)出安全公告，呼吁企業(yè)管理員采取行動(dòng)。