company_banner

Что нужно знать о последнем патче Cisco для маршрутизаторов

    Не так давно IT-гигант объявил о критической уязвимости в системе ASR 9000. Под катом рассказываем, в чем суть бага и как его «залатать».


    Фото — ulleo — PD

    Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратура класса high-end для дата-центров телекоммуникационных компаний и сотовых операторов, которая обладает пропускной способностью 400 Гбит/с на слот и поддерживает линейные карты 40G/80G.

    Уязвимости присвоили идентификатор CVE-2019-1710. Она набрала 9,8 балла из 10 по шкале CVSS.

    Этот стандарт разработала группа ИБ-специалистов из таких компаний, как Microsoft, Cisco, CERT, IBM для оценки опасности багов.

    Почему она опасна


    Баг дает злоумышленникам возможность получить неавторизованный доступ к системным приложениям на виртуальной машине администратора. Хакеры могут удаленно выполнять вредоносный код и проводить DoS-атаки. По словам инженеров Cisco, проблема заключается в неправильной изоляции вторичного интерфейса управления (MGT LAN 1 на процессоре маршрутного переключателя — RSP) от внутренних приложений администратора. Атакующий может эксплуатировать уязвимость, подключившись к одному из них.

    Чтобы определить, есть ли проблема на вашей системе, нужно залогиниться на виртуальной машине сисадмина и ввести в консоли команду show interface. Если вторичный интерфейс будет подключен (как в ответе ниже), то маршрутизатор подвержен уязвимости.

    sysadmin-vm:0_RSP1:eXR# show interface
    Tue Mar  19 19:32:00.839 UTC
    MgmtEth0/RSP1/0/0  Link encap: Ethernet  HWaddr 08:96:ad:22:7a:31
      inet  addr: 192.168.0.1
      UP RUNNING BROADCAST MULTICAST   MTU:1500  Metric:1
      RX packets:      14093 errors:0 dropped:1 overruns:0   frame:0
      TX packets:         49 errors:0 dropped:0 overruns:0 carrier:0
                             collisions:0 txqueuelen:1000
      RX bytes:                867463  TX bytes:                  6889
    
    sysadmin-vm:0_RSP1:eXR#
    

    Специалисты Cisco говорят, что уязвимости подвержена только платформа ASR 9000. Другие решения компании под управлением Cisco IOS-XR 64 bit стабильны. При этом компания пока не зафиксировала попыток провести хакерскую атаку с помощью CVE-2019-1710.

    Как её закрыть


    Специалисты Cisco опубликовали патч, который исправляет CVE-2019-1710 в составе IOS XR версий 6.5.3 и 7.0.1. Обновление доступно бесплатно для всех организаций с актуальной лицензией на операционную систему (и тех, кто покупал ее ранее).

    Есть и альтернативный вариант — можно прибегнуть к обходному решению, которое полностью нивелирует уязвимость. Сначала нужно подключиться к виртуальной машине администратора:

    RP/0/RSP1/CPU0:eXR#admin
    Tue Mar 12 22:46:37.110 UTC
    
    root connected from 127.0.0.1 using console on host
    

    Затем запустить Bash и отредактировать файл конфигурации calvados_bootstrap.cfg:

    sysadmin-vm:0_RSP1:eXR# run bash
    Tue Mar 12 22:46:44.224 UTC
    bash-4.3# vi /etc/init.d/calvados_bootstrap.cfg
    

    В следующих двух строках нужно убрать знак # и сохранить файл.

    #CTRL_VRF=0
    #MGMT_VRF=2
    

    Если решение имеет две системы RSP, то убрать # нужно в конфигурации каждой из них. Затем достаточно перезагрузить виртуальную машину:

    sysadmin-vm:0_RSP1:eXR# reload admin location 0/RSP1
    Tue Mar 12 22:49:28.589 UTC
    Reload node ? [no,yes] yes
    result Admin VM graceful reload request on 0/RSP1 succeeded.
    sysadmin-vm:0_RSP1:eXR# RP/0/RSP1/CPU0:Mar 12 22:49:34.059 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :DECLARE :0/RSP1/CPU0:
    
    Confd is down
    RP/0/RSP1/CPU0:eXR#
    

    Она должна будет вернуть следующее сообщение:

    RP/0/RSP1/CPU0:eXR#0/RSP1/ADMIN0:Mar 12 22:59:30.220 UTC: envmon[3680]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :Power Module redundancy lost :DECLARE :0:
    RP/0/RSP1/CPU0:Mar 12 22:59:33.708 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :CLEAR :0/RSP1/CPU0:
    

    Что еще пропатчили


    Параллельно с патчем для CVE-2019-1710, IT-гигант выпустил еще двадцать «заплаток» для менее критичных уязвимостей. Туда вошли шесть багов в протоколе IAPP (Inter-Access Point Protocol), а также в интерфейсе WLC (Wireless LAN Controller) и Cisco VCS Expressway.

    В списке продуктов с патчами числятся: UCS B-Series Blade Servers, Cisco Umbrella, DNA Center, Registered Envelope Service, Directory Connector, Prime Network Registrar и др. Полный список можно найти на официальном сайте.


    Фото — Mel Clark — PD

    Также в начале мая разработчики корпорации закрыли ещё одну уязвимость ASR 9000 и Cisco IOS XR. Она связана с функцией PIM (Protocol Independent Multicast), которая решает проблему групповой маршрутизации. Баг (он получил идентификатор CVE-2019-1712) позволяет злоумышленнику удалённо перезапустить PIM-процесс и провести DoS-атаку.

    Кроме того, разработчики опубликовали серию предупреждений, касающихся ранее исправленных уязвимостей. Некоторые из них, по данным ИБ-экспертов, применяет для своих DNS-атак хакерская группа Sea Turtle. Инженеры обещали мониторить ситуацию и публиковать свежие апдейты.



    ITGLOBAL.COM — поставщик частного и гибридного облака, а также других услуг, направленных на развитие IT-инфраструктуры наших клиентов. О чем мы пишем в корпоративном блоге:

    ITGLOBAL.COM
    Рассказываем про Managed IT, облака и ИБ.

    Комментарии 2

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое