思科修补Nexus 9000网络交换器重大漏洞

周四（5月2日）美国网络设备大厂思科发布网络交换器产品Nexus 9000一项可导致骇客长驱直入的重大漏洞。

漏洞出现在Cisco Nexus 9000 Series网络交换器的应用中心基础架构（application centric infrastructure，ACI）Mode软件当中的SSH 金钥管理元件。代号为CVE-2019-1804的漏洞，可导致远端未授权的攻击者，以系统管理员权限连上系统。

思科指出，本漏洞来自于SSH加密公、私钥以预设状态被误放于装置上，让攻击者得以透过IPv6开启SSH连线连结目标装置，并以系统管理员权限存取系统，可用于植入恶意程式、删改资料或窃密。本漏洞被列为9.8的重大（Critical）风险漏洞。

不过思科表示攻击行动仅能通过IPv6通讯协定，无法经由IPv4发生。

受影响产品为执行Cisco NX-OS Software软件14.1（1i）版本以前的Nexus 9000系列。思科已经针对本漏洞发布修补程式，并表示本漏洞没有权宜性的解决方案，呼吁用户尽早更新。

本产品同时间还出现一个编号CVE-2019-1803的高（High）风险权限升级漏洞，也一并为思科修补。

此外，思科周三（5月1日）还修补了发生在Adaptive Security、Firepower Threat Defense Software、Web Security Appliance等产品的40多项高风险漏洞。