思科上周針對網絡虛擬化設備一項可能允許攻擊者接管設備的重大漏洞，推出更新軟件，呼吁用戶應盡速安裝。

　　這項漏洞發(fā)生在Cisco Enterprise Network Function Virtualization Infrastructure Software（NFVIS）4.5.1版本中的TACACS+ AAA（authentication, authorization and accounting）功能中。NSVIS主要是利用虛擬化和抽象化底層硬體，以管理分支機構的路由器、防火墻、網絡控制器等設備。

　　這項漏洞編號CVE-2021-34746，出于TACACS+ AAA功能對使用者呼叫的驗證不完善，攻擊者可在呼叫中注入參數開采漏洞。成功開采可讓遠端攻擊者繞過驗證，以管理員身分登入問題設備，進而接管該設備，這意謂著他可以藉此執(zhí)行任意指令，包括刪改檔案或執(zhí)行惡意程式。

　　該漏洞風險值9.8，影響有啟動外部驗證的設備。思科已推出最新的NSVIS 4.6.1解決問題。

　　本漏洞最早由Orange Group的研究人員Cyrille Chatras發(fā)現并通報。思科產品安全事件回應小組雖然還未發(fā)現有使用這漏洞的惡意活動，但已得知網絡上有針對這漏洞的概念驗證（PoC）程式。

　　美國網絡安全暨基礎架構管理署（CISA）也發(fā)出安全公告，呼吁企業(yè)管理員采取行動。