- PVSM.RU - https://www.pvsm.ru -
Уязвимый коммутатор Cisco Catalyst 2960G-48TC-L. Фото: Cisco
Компания Cisco опубликовала информацию [1] (ID бюллетеня: cisco-sa-20170317-cmp) о критической уязвимости в протоколе Cluster Management Protocol (CMP), который поставляется с программным обеспечением Cisco IOS XE Software. Уязвимость CVE-2017-3881 [2] даёт возможность удалённого исполнения кода с повышенными привилегиями в межсетевой операционной системе Cisco IOS любым неавторизованным удалённым пользователем (которому известно о баге).
О нём точно было известно сотрудникам ЦРУ, что следует из документов, опубликованных на сайте Wikileaks в рамках проекта Vault 7 (Year Zero) [3]. Специалисты по безопасности Cisco говорят, что нашли информацию об уязвимости, проведя анализ этих документов.
Протокол CMP основан на протоколе telnet [4], но поддерживает специфические параметры. Баг связан с некорректной обработкой именно этих специфичных для CMP параметров, которые получены по telnet. Какие конкретно параметры нужно использовать для проявления бага при обработке запроса — не сообщается.
Компания Cisco публикует инструкцию, как проверить наличие подсистемы CMP в программном обеспечении, которое работает на устройстве.
Проверка CMP:
show subsys class protocol | include ^cmp
Если подсистема CMP отсутствует, ответ будет такой:
Switch#show subsys class protocol | include ^cmp
Switch#
Если подсистема CMP присутствует, ответ будет следующий:
Switch#show subsys class protocol | include ^cmp
cmp Protocol 1.000.001
Switch#
В случае наличия подсистемы CMP на вашем коммутаторе можно проверить, принимает ли CMP входящие соединения telnet. И, соответственно, можно ли провести на него вышеупомянутую атаку с удалённым исполнением кода путём специальным образом сформированной команды.
Проверка поддержки входящих соединений telnet:
show running-config | include ^line vty|transport input
Например, в случае использования настроек по умолчанию в строке виртуального терминала (VTY) будут просто указаны номера терминалов без особых примечаний:
Switch#show running-config | include ^line vty|transport input
line vty 0 4
line vty 5 15
Switch#
Настройки по умолчанию включают в себя входящие соединения telnet на всех виртуальных терминалах с 0-го по 15-й. Следовательно, это уязвимая конфигурация.
Для сравнения, вот специальная конфигурация, где только протокол SSH разрешен на всех виртуальных терминалах:
Switch#show running-config | include ^line vty|transport input
line vty 0 4
transport input ssh
line vty 5 15
transport input ssh
Switch#
Такая конфигурация не будет уязвимой.
Cisco проверила версии Cisco IOS XE Software и точно выяснила список 318 коммутаторов и других сетевых устройств, подверженных данной уязвимости. Если устройства нет в списке, то оно точно безопасно.
Список включает 264 коммутатора серии Catalyst, 40 промышленных коммутаторов серии Industrial Ethernet и 14 других устройств Cisco.
Попытки эксплуатации данной уязвимости можно увидеть в логах по сигнатурам Cisco IPS Signature 7880-0 [5], Snort SID 41909 и 41910, пишет компания Cisco.
Обойти уязвимость каким-либо способом невозможно, только если полностью отключить входящие telnet-соединения и оставить SSH. На данный момент Cisco рекомендует такую конфигурацию. Если отключение telnet для вас неприемлемо, можно уменьшить вероятность атаки, ограничив доступ с помощью Infrastructure Protection Access Control Lists [6].
Cisco пообещала выпустить патч в будущем.
Cisco стала первым из крупных производителей аппаратного обеспечения, который выявил уязвимость, упомянутую в документах ЦРУ. Пока что о закрытии багов сообщали только разработчики программного обеспечения [7]. Разумеется, документы ещё следует внимательно проанализировать. Сайт Wikileaks пока не выложил файлы эксплойтов ЦРУ в открытый доступ, но обещал предоставить их в первую очередь вендорам для приоритетного закрытия уязвимостей, прежде чем отдать эти инструменты в руки всех желающих. Джулиан Ассанж также упомянул, что опубликованная порция Year Zero — всего 1% от общего объёма Vault 7. Документы находятся в распоряжении Wikileaks и будут выкладываться по частям.
Автор: alizar
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/250289
Ссылки в тексте:
[1] опубликовала информацию: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp
[2] CVE-2017-3881: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3881
[3] в рамках проекта Vault 7 (Year Zero): https://geektimes.ru/post/286702/
[4] telnet: https://en.wikipedia.org/wiki/Telnet
[5] Cisco IPS Signature 7880-0: https://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=7880&signatureSubId=0&softwareVersion=6.0&releaseVersion=S972
[6] Infrastructure Protection Access Control Lists: http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html
[7] сообщали только разработчики программного обеспечения: https://geektimes.ru/post/286748/
[8] Источник: https://geektimes.ru/post/287130/
Нажмите здесь для печати.