Cisco Enterprise NFV Infrastructure Software(NFVIS)是思科公司的一套NFV基础架构软件平台。该平台可以通过中央协调器和控制器实现虚拟化服务的全生命周期管理。
5月4日,思科发布了安全公告,思科企业NFV基础架构软件平台发现虚拟机逃逸漏洞,建议尽快升级。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-MUL-7DySRX9
1.CVE-2022-20777 CVSS评分:9.9 严重
思科企业 NFVIS 的下一代输入/输出 (NGIO) 功能中的一个漏洞,使得经过身份验证的远程攻击者能够从来宾VM中逃逸,从而在 NFVIS 主机上获得未经授权的Root访问权限。
此漏洞是由于来宾限制不足造成的。攻击者可以通过从 VM 发送 API 调用来利用此漏洞,该调用将在 NFVIS 主机上以root级权限执行。成功的利用可以让攻击者完全破坏 NFVIS 主机。
2.CVE-2022-20779 CVSS评分:8.8 高
思科企业 NFVIS 映像注册过程中的漏洞可能允许未经身份验证的远程攻击者在映像注册过程中注入在 NFVIS 主机的Root级别执行的命令。
此漏洞是由于输入验证不当造成的。攻击者可以通过说服主机上的管理员安装带有精心制作的元数据的 VM 映像来利用此漏洞,该元数据将在 VM 注册过程中以root级权限执行命令。成功的利用可能允许攻击者将具有root级别权限的命令注入 NFVIS 主机。
3.CVE-2022-20780 CVSS评分:7.4 高
思科企业 NFVIS 导入功能中的漏洞可能允许未经身份验证的远程攻击者将系统数据从主机泄漏到任何已配置的虚拟机。
此漏洞是由于 XML 解析器中的外部实体解析造成的。攻击者可以通过说服管理员导入一个精心制作的文件来利用此漏洞,该文件将从主机读取数据并将其写入任何已配置的 VM。成功的利用可能允许攻击者在任何已配置的 VM 上从主机访问系统信息,例如包含用户数据的文件。
受影响产品
Cisco Enterprise NFVIS 4.7.1之前软件版本
解决方案
Cisco Enterprise NFVIS 升级至4.7.1版本可修复此漏洞。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x