Spoločnosť Cisco opravila 3 kritické zraniteľnosti v rôznych produktoch

Spoločnosť Cisco opravila 3 kritické zraniteľnosti, pričom jedna z nich dosahuje CVSS skóre 10. Táto zraniteľnosť sa nachádza v softvéri ACI Multi-Site Orchestrator. Súvisí s nesprávnou validáciou tokenu v koncovom bode API. Ďalšia chyba sa nachádza v operačnom systéme NX-OS v prepínačoch Nexus. Vzdialený útočník vie manipulovať so súbormi bez akejkoľvek autentifikácie. Posledné zraniteľnosti ovplyvňujú Cisco Application Services Engine. Súvisia s nedostatočnou kontrolou prístupu k službe bežiacej v dátovej sieti.

Dôsledky

  • Obídenie bezpečnostných prvkov, kompromitácia zariadenia
  • Zmena konfiguračných súborov
  • Únik informácií

Opis činnosti
CVE-2021-1361, CVE-2021-1388, CVE-2021-1393, CVE-2021-1396

Spoločnosť Cisco opravila 3 kritické zraniteľnosti a 1 stredne závažnú.

Zraniteľnosť CVE-2021-1361 sa nachádza v operačnom systéme NX-OS v prepínačoch typu Nexus. CVSS skóre tejto chyby je 9.8. Zraniteľné sú prepínače Nexus série 3000 a série 9000. Chyba existuje, pretože TCP port 9075 je nesprávne nakonfigurovaný pre počúvanie a odpovedanie na požiadavky. Zraniteľnosť súvisí s implementáciou služby pre správu súborov. Neautentifikovaný vzdialený útočník je schopný manipulovať so súbormi na dotknutých zariadeniach s administrátorskými oprávneniami.

CVE-2021-1388 dosahuje CVSS skóre 10. Nachádza sa v softvéri ACI Multi-Site Orchestrator (ACI MSO) verzie 3.0. Jedná sa o softvér na správu pre podniky, ktorý umožňuje monitorovať stav vzájomne prepojených lokalít spravujúcich prístupové politiky. Chyba súvisí s nesprávnou validáciou tokenu v koncovom bode API v ACI MSO. Zaslaním špeciálne vytvorenej požiadavky zraniteľnému rozhraniu API by ju vzdialený útočník mohol zneužiť bez akejkoľvek autentifikácie. Útočník je schopný získať token s administrátorskými oprávneniami, čím môže obísť autentifikáciu na zraniteľných zariadeniach. Spoločnosť Cisco si nie je vedomá zneužitia tejto zraniteľnosti.

Ďalšie zraniteľnosti ovplyvňujú softvér Cisco Application Services Engine verzie 1.1(3d) a staršie. Obe súvisia s nedostatočnou kontrolou prístupu k službe API bežiacej v dátovej sieti.

Kritickú zraniteľnosť CVE-2021-1393 by útočník mohol zneužiť poslaním vytvorených TCP požiadaviek na konkrétnu službu. Úspešným zneužitím by útočník mohol získať privilegovaný prístup na spúšťanie kontajnerov alebo na vykonanie operácií na úrovni hostiteľa. CVSS skóre tejto zraniteľnosti je 9.8.

Stredne závažnú zraniteľnosť CVE-2021-1396 by útočník mohol zneužiť poslaním vytvorených HTTP požiadaviek na zraniteľné API. V prípade zneužitia je útočník schopný zistiť informácie o zariadení, zmeniť časť konfigurácií a podobne.

Zraniteľné systémy

  • Prepínače Nexus série 3000 s NX-OS verzie 9.3(5) alebo 9.3(6)
  • Prepínače Nexus série 9000 s NX-OS verzie 9.3(5) alebo 9.3(6)
  • Cisco ACI Multi-Site Orchestrator verzie 3.0
  • Cisco Application Services Engine verzie 1.1(3d) a nižšie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií

Odporúčania

  • Aktualizácia NX-OS na najnovšiu dostupnú verziu
  • Aktualizácia Cisco ACI Multi-Site Orchestrator verzie 3.0 na verziu 3.0(3m)
  • Aktualizácia Cisco Application Services Engine verzie 1.1(3d) na verziu 1.1(3e)

Odkazy
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-3000-9000-fileaction-QtLzDRy2
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-authbyp-bb5GmBQv
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-case-mvuln-dYrDPC6w
https://threatpost.com/cisco-critical-security-flaw/164255/
https://www.securityweek.com/cisco-patches-severe-flaws-network-management-products-switches
https://thehackernews.com/2021/02/cisco-releases-security-patches-for.html
https://www.bleepingcomputer.com/news/security/cisco-fixes-maximum-severity-mso-auth-bypass-vulnerability/