Plateforme
cisco
Composant
cisco-aci-multi-site-orchestrator
La vulnérabilité CVE-2021-1388 concerne un contournement d'authentification dans l'API d'un composant de Cisco ACI Multi-Site Orchestrator (MSO) installé sur l'Application Services Engine. Cette faille permet à un attaquant distant non authentifié d'obtenir des privilèges d'administrateur. Elle affecte les versions inférieures ou égales à une version non spécifiée (n/a). Cisco recommande d'appliquer les correctifs disponibles.
Un attaquant exploitant avec succès cette vulnérabilité pourrait obtenir un jeton avec des privilèges d'administrateur. Ce jeton pourrait ensuite être utilisé pour s'authentifier à l'API MSO et aux Cisco Application Policy Infrastructure Controller (APIC) gérés. Cela permettrait à l'attaquant de contrôler potentiellement l'infrastructure réseau, de modifier les politiques d'application, d'intercepter le trafic et d'exécuter des actions non autorisées. La portée de l'impact est significative, car elle permet un accès non authentifié à des composants critiques de l'infrastructure ACI.
Cette vulnérabilité a été rendue publique le 24 février 2021. Bien qu'aucune exploitation active à grande échelle n'ait été signalée publiquement, la sévérité critique de la vulnérabilité et la facilité potentielle d'exploitation la rendent préoccupante. Il est conseillé de la traiter avec une priorité élevée. La vulnérabilité est référencée dans le catalogue KEV de CISA.
Organizations heavily reliant on Cisco ACI Multi-Site Orchestrator for network automation and management are at significant risk. Specifically, environments with exposed API endpoints or those lacking robust access controls are particularly vulnerable. Shared hosting environments utilizing ACI MSO could also be affected, as a compromised tenant could potentially exploit this vulnerability to gain access to other tenants' resources.
• linux / server: Monitor system logs (journalctl) for unusual API requests or authentication attempts. Look for patterns indicative of token manipulation.
journalctl -u aci-ms-orchestrator -f | grep -i "authentication bypass"• cisco: Use Cisco's security monitoring tools to detect unauthorized API access attempts. Review Cisco Security Advisories for specific detection signatures. • generic web: Monitor network traffic for requests to the vulnerable API endpoint. Use intrusion detection systems (IDS) to identify suspicious patterns. • generic web: Check access logs for unusual user agent strings or IP addresses attempting to access the API endpoint.
disclosure
Statut de l'Exploit
EPSS
1.96% (percentile 83%)
Vecteur CVSS
La mitigation principale consiste à appliquer les correctifs publiés par Cisco. En attendant l'application du correctif, il est recommandé de restreindre l'accès à l'API concernée en utilisant des règles de pare-feu ou des listes de contrôle d'accès (ACL). Surveiller attentivement les journaux d'accès à l'API pour détecter toute activité suspecte. Vérifier après l'application du correctif que l'authentification est correctement appliquée en tentant d'accéder à l'API sans authentification.
Mettez à jour le logiciel Cisco ACI Multi-Site Orchestrator vers une version non vulnérable. Consultez l'avis Cisco pour plus de détails et des instructions de mise à jour spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2021-1388 is a critical vulnerability allowing unauthenticated attackers to bypass authentication in Cisco ACI Multi-Site Orchestrator, potentially gaining administrator access. It's due to improper token validation in a specific API endpoint, leading to privilege escalation.
You are affected if you are running a version of Cisco ACI Multi-Site Orchestrator prior to the release of a fix. Check Cisco's advisory for the specific affected versions and upgrade as soon as possible.
The primary fix is to upgrade to a patched version of Cisco ACI Multi-Site Orchestrator. Until the upgrade, restrict API access and monitor for suspicious activity as temporary mitigations.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's critical severity and ease of exploitation make it a high-priority target, and exploitation is likely.
Refer to the official Cisco Security Advisory for CVE-2021-1388 on the Cisco website. Search for 'CVE-2021-1388 Cisco' to locate the advisory.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.