Cisco针对影响企业NFVIS软件的3个新缺陷发布修补程序

Cisco Systems周三发布了安全补丁，其中包含三个影响其企业NFV基础设施软件（NFVIS）的缺陷，这些缺陷可能允许攻击者完全破坏并控制主机。

该公司表示，这些漏洞被追踪为CVE-2022-20777、CVE-2022-20779和CVE-2022-20780，“可能允许攻击者从来宾虚拟机（VM）逃逸到主机，注入在根级别执行的命令，或将系统数据从主机泄漏到VM。”。

Credited for discovering and reporting the issues are Cyrille Chatras, Pierre Denouel, and Loïc Restoux of Orange Group. Updates have been released in version 4.7.1.

这家网络设备公司表示，这些缺陷会影响默认配置中的Cisco Enterprise NFVIS。这三个bug的详细信息如下-

• （CVSS得分：9.9）-来宾限制不足的问题，允许经过身份验证的远程攻击者从来宾VM中逃脱，以获得对NFVIS主机的未经授权的根级别访问。

• （CVSS得分：8.8）-一个不正确的输入验证缺陷，允许未经验证的远程攻击者在图像注册过程中注入在NFVIS主机上根级别执行的命令。

• CVE-2022-20780（CVSS得分：7.4）-Cisco Enterprise NFVIS导入功能中的一个漏洞，允许未经验证的远程攻击者从任何配置的VM上的主机访问系统信息。

Cisco最近还解决了其自适应安全设备（ASA）和火力威胁防御（FTD）软件中的一个严重缺陷，该缺陷可能允许经过身份验证但没有特权的远程攻击者将权限提升到15级。

“这包括使用Cisco Adaptive Security device Manager（ASDM）或Cisco Security Manager（CSM）等管理工具对设备进行15级权限访问，”该公司在CVE-2022-20759咨询中指出（CVSS得分：8.8）。

此外，Cisco上周发布了一份“现场通知”，敦促Catalyst 2960X/2960XR设备的用户将其软件升级到IOS 15.2（7）E4或更高版本，以启用旨在“验证我们解决方案的真实性和完整性”并防止泄露的新安全功能。