Компания Cisco устранила уязвимость нулевого дня в программном обеспечении маршрутизаторов IOS XR, которая позволяла неавторизованным злоумышленникам удаленно получить доступ к экземплярам Redis, запущенным в контейнерах NOSi Docker.
Сетевая ОС IOS XR развернута на различных платформах маршрутизаторов Cisco, включая маршрутизаторы серий NCS 540 и 560, NCS 5500, 8000 и ASR 9000.
Ошибка (отслеживаемая как CVE-2022-20821) была обнаружена в ходе решения проблемы, возникшей в центре технической поддержки Cisco TAC (Technical Assistance Center).
«Эта уязвимость существует потому, что ролевой механизм проверки работоспособности открывает TCP-порт 6379 по умолчанию при активации. Злоумышленник может воспользоваться этой уязвимостью, подключившись к экземпляру Redis через открытый порт», — пояснили в Cisco.
«Успешная эксплуатация может позволить злоумышленнику записывать данные в базу данных Redis in-memory, записывать произвольные файлы в файловую систему контейнера и получать информацию о базе данных Redis».
К счастью, даже если злоумышленники успешно воспользуются этой уязвимостью, они не смогут удаленно выполнить код или нарушить целостность хост-системы, поскольку экземпляр Redis работает в контейнере с песочницей.
Хотя дефект затрагивает только маршрутизаторы Cisco серии 8000, на которых установлен и активен ролевой модуль проверки работоспособности, Cisco в опубликованном в пятницу консультативном письме настоятельно рекомендовала заказчикам установить исправления или применить обходные пути на устройствах с уязвимым программным обеспечением.
«В мае 2022 года Cisco PSIRT стало известно о попытках эксплуатации этой уязвимости в дикой природе», — говорится в сообщении компании.
«Cisco настоятельно рекомендует заказчикам применить подходящее обходное решение или обновить программное обеспечение до исправленной версии, чтобы устранить эту уязвимость».
Доступны обходные пути
Производитель сетевых решений также предлагает обходные пути для клиентов, которые не могут немедленно применить обновления безопасности для устранения уязвимости CVE-2022-20821.
Первое обходное решение требует от администраторов отключить проверку здоровья и удалить RPM проверки здоровья с уязвимых устройств. Чтобы узнать, затронуто ли устройство, необходимо выполнить команду run docker ps и найти контейнер docker с именем NOSi.
Администраторы также могут использовать список контроля доступа к инфраструктуре (iACLs) для блокировки порта 6379, который злоумышленники используют для получения доступа к открытому экземпляру Redis.
«Заказчики должны знать, что любое обходное решение или смягчение последствий, которое будет реализовано, может негативно повлиять на функциональность или производительность их сети, исходя из присущих заказчику сценариев развертывания и ограничений», — заявили в Cisco.
«Заказчикам не следует применять какие-либо обходные пути или смягчающие меры до предварительной оценки их применимости к их собственной среде и любого воздействия на эту среду».
Ранее Cisco исправила ошибки в NFVIS, которые могут позволить неавторизованным злоумышленникам удаленно запускать команды с привилегиями root, и в виртуальном устройстве Cisco Umbrella Virtual Appliance (VA), которое позволяло удаленным неавторизованным злоумышленникам красть учетные данные администратора.
Последнее обновление 05.01.2023
