思科已經(jīng)披露了29個新的漏洞，并警告客戶使用其ASR 9000系列聚合服務(wù)路由器來安裝更新，以解決可以在沒有用戶憑據(jù)的情況下遠(yuǎn)程利用的關(guān)鍵漏洞。標(biāo)識符為CVE-2019-1710的ASR漏洞是思科披露的數(shù)十個漏洞中最嚴(yán)重的漏洞。該錯誤的嚴(yán)重等級為9.8，可能為10。該漏洞存在于ASR路由器上的sysadmin虛擬機中，該路由器運行易受攻擊的Cisco IOS XR 64位軟件版本。攻擊者可以使用該漏洞訪問VM上運行的應(yīng)用程序。

“該漏洞是由于二級管理接口與內(nèi)部系統(tǒng)管理員應(yīng)用程序的隔離錯誤造成的，”思科解釋說。

“攻擊者可以通過連接到其中一個偵聽內(nèi)部應(yīng)用程序來利用此漏洞。成功利用此漏洞可能會導(dǎo)致不穩(wěn)定的情況，包括拒絕服務(wù)和遠(yuǎn)程未經(jīng)身份驗證的設(shè)備訪問。”

思科詳細(xì)介紹了一種解決方法，但指出它確實有軟件更新來修復(fù)漏洞。Cisco IOS XR 64位軟件版本6.5.3和7.0.1中修復(fù)了此問題。該補丁有效地實現(xiàn)了思科的詳細(xì)信息，包括運行bash和編輯calvados_bootstrap.cfg文件。

該公司還發(fā)布了警報，稱兩個先前修補的漏洞正在被稱為Sea Turtle的DNS劫持活動中被利用。

在內(nèi)部測試期間，思科發(fā)現(xiàn)了其余五個高嚴(yán)重性漏洞。三他們影響思科無線局域網(wǎng)控制器軟件，另一個會影響思科高速公路系列和思科網(wǎng)真視頻通信服務(wù)器，和第五影響的Cisco Aironet系列接入點。思科表示，它并不知道任何高嚴(yán)重性漏洞受到攻擊