company_banner

В оборудовании Cisco обнаружена критическая уязвимость на 10 из 10 баллов по шкале CVSS



    В роутерах Cisco серий 4000, ASR 1000 и 1000V обнаружена критическая уязвимость
    (CVE-2019-12643), которую оценили на 10 из 10 возможных баллов по шкале угроз CVSS (обычно угрозы уровня Critical получают 7,5-9,1 баллов, редко — 9,8). Соответствующая информация размещена на официальном сайте производителя оборудования.

    Уязвимость в контейнере виртуальных сервисов API Cisco REST для ПО Cisco IOS XE позволяет удаленному злоумышленнику обойти аутентификацию на управляемом устройстве без прохождения проверки подлинности.

    Инженеры Cisco рекомендуют срочно установить патч на все роутеры под управлением IOS XE, например, с помощью специального инструмента Cisco IOS Software Checker.

    Обнаруженный эксплоит позволяет удаленно совершить простой HTTP-запрос, который возвращает ID-токены авторизованных пользователей. Именно последние позволяют обойти проверку подлинности и получить полный доступ к управляемым устройствам. Уровень уязвимости в 10 из 10 возможных баллов по шкале CVSS еще говорит и о том, что эксплоит крайне прост в использовании и не требует каких-то запредельных навыков или особых условий для взлома.

    Для восстановления работоспособности проблемной службы необходимо целенаправленно ее обновить. Если у вас нет возможности обновить эту службу, то альтернативным способом защиты может стать ручное отключение API REST Cisco. Важно знать, что просто обновление прошивки Cisco IOS XE не приведет к полному устранению проблемы, а лишь автоматически отключит API REST без его обновления.

    Для того, чтобы определить, подвержено ли ваше оборудование Cisco данной уязвимости, перейдите в консоль устройства в качестве администратора, выполните show virtual-service и ввести привелегированную команду include Restful:

    router#show virtual-service detail | include Restful
    Restful API Enabled, UP port: 55443


    Если введенная команда не существует, возвращает пустые значения или строка Enabled UP отсутствует, то устройство уязвимости не подвержено. В противном случае вам необходимо отключить или обновить контейнер службы REST API.

    Адрес исправленного контейнера REST API:

    iosxe-remote-mgmt.16.09.03.ova

    Также представители компании рекомендуют обновить не только службу, но и всю прошивку Cisco IOS XE до последней версии.
    ITSumma
    Собираем безумных людей и вместе спасаем интернет

    Комментарии 7

      +2
      Сдается мне это не баг, а фича американских спецслужб.
        +9
        Если оборудование американское, то баг, если китайское — закладка. Классика.
          +1

          Закладок штук 5, а багов миллион
          Ну, так понимаю, чтобы наверняка можно было сделать абсолютно все

        –1

        Tl;dr если вебморда не включена а роутер управляеться только через ssh то уязвимость работает?

          +1

          Как понял, любая уязвимость такого класса, требует обновления ios, при том cisco чаще всего не ограничивается закрытием порта, а советует полностью отключить фишку.
          всецело cisco превращается из 247, в 247, кроме дней срочных заплаток, а таких дней уже как-то многовато...

          0
          Акции Tenda и Totolink теперь взлетят!
            0
            чем умнее железяка, тем больше на ней уязвимостей.
            интересно сколько уязвимостей найдут в новой линейке catalyst 9000, туда тоже проц x86 и контейнеры завезли

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое