思科上周針對網(wǎng)絡虛擬化設備一項可能允許攻擊者接管設備的重大漏洞，推出更新軟件，呼吁用戶應盡速安裝。

　　這項漏洞發(fā)生在Cisco Enterprise Network Function Virtualization Infrastructure Software（NFVIS）4.5.1版本中的TACACS+ AAA（authentication, authorization and accounting）功能中。NSVIS主要是利用虛擬化和抽象化底層硬體，以管理分支機構的路由器、防火墻、網(wǎng)絡控制器等設備。

　　這項漏洞編號CVE-2021-34746，出于TACACS+ AAA功能對使用者呼叫的驗證不完善，攻擊者可在呼叫中注入?yún)��?shù)開采漏洞。成功開采可讓遠端攻擊者繞過驗證，以管理員身分登入問題設備，進而接管該設備，這意謂著他可以藉此執(zhí)行任意指令，包括刪改檔案或執(zhí)行惡意程式。

　　該漏洞風險值9.8，影響有啟動外部驗證的設備。思科已推出最新的NSVIS 4.6.1解決問題。

　　本漏洞最早由Orange Group的研究人員Cyrille Chatras發(fā)現(xiàn)并通報。思科產(chǎn)品安全事件回應小組雖然還未發(fā)現(xiàn)有使用這漏洞的惡意活動，但已得知網(wǎng)絡上有針對這漏洞的概念驗證（PoC）程式。

　　美國網(wǎng)絡安全暨基礎架構管理署（CISA）也發(fā)出安全公告，呼吁企業(yè)管理員采取行動。