Cisco IOS和IOS XE软件的TACACS+协议实现中存在一个严重漏洞，这可能允许未经验证的远程攻击者绕过身份验证控制或访问敏感数据。

该漏洞源于软件未能正确验证是否配置了所需的TACACS+共享密钥，这为中间人（MitM）攻击创造了可乘之机。

思科已发布软件更新以解决该问题，并提供了一个临时缓解的解决方案。

身份验证绕过和数据泄露

此漏洞的核心在于受影响设备在配置中缺少共享密钥时如何处理TACACS+认证。

位于思科设备和TACACS+服务器之间网络中的攻击者，可通过两种主要方式利用这一疏漏。首先，他们可以拦截TACACS+消息，由于缺少密钥，这些消息将不加密，攻击者从而能够读取其中包含的敏感信息。

其次，攻击者可能会伪装成TACACS+服务器，并虚假批准来自该设备的任何认证请求。成功的攻击可能会使攻击者获得对网络设备的完全未授权访问权限，或者泄露机密数据。

此漏洞是在解决思科技术支持中心（TAC）的一个支持案例过程中内部发现的。

只有当思科设备运行易受影响版本的思科IOS或IOS XE软件，且配置为使用TACACS+但未为每个服务器定义共享密钥时，才会受此漏洞影响。

管理员可以通过检查设备的运行配置来确定自身的暴露情况。使用命令行界面（CLI）命令（如show running-config | include tacacs），管理员可以首先确认是否启用了TACACS+。

如果是这样，他们必须验证每个TACACS+服务器条目是否配置了共享密钥。如果任何已配置的服务器缺少其关联密钥，该设备就容易受到攻击，需要立即采取补救措施。

思科发布了一份安全公告，详细说明了该漏洞，并为受影响的产品提供了修复后的软件版本。该公司强烈建议所有客户升级到IOS或IOS XE的修补版本，以永久解决此问题。

作为一种临时解决方案，有一种有效的变通方法。管理员可以通过确保为其设备上的每个TACACS+服务器正确配置共享密钥来缓解该漏洞。

虽然这种临时解决方案可以防止被利用，但思科认为在软件能够升级之前，这只是一项临时措施。

思科产品安全事件响应团队（PSIRT）表示，目前尚未发现任何关于该漏洞在野外被公开披露或恶意利用的情况。