Не так давно IT-гигант объявил о критической уязвимости в системе ASR 9000. Под катом рассказываем, в чем суть бага и как его «залатать».
Фото — ulleo — PD
Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратура класса high-end для дата-центров телекоммуникационных компаний и сотовых операторов, которая обладает пропускной способностью 400 Гбит/с на слот и поддерживает линейные карты 40G/80G.
Этот стандарт разработала группа ИБ-специалистов из таких компаний, как Microsoft, Cisco, CERT, IBM для оценки опасности багов.
Баг дает злоумышленникам возможность получить неавторизованный доступ к системным приложениям на виртуальной машине администратора. Хакеры могут удаленно выполнять вредоносный код и проводить DoS-атаки. По словам инженеров Cisco, проблема заключается в неправильной изоляции вторичного интерфейса управления (MGT LAN 1 на процессоре маршрутного переключателя — RSP) от внутренних приложений администратора. Атакующий может эксплуатировать уязвимость, подключившись к одному из них.
Чтобы определить, есть ли проблема на вашей системе, нужно залогиниться на виртуальной машине сисадмина и ввести в консоли команду show interface. Если вторичный интерфейс будет подключен (как в ответе ниже), то маршрутизатор подвержен уязвимости.
Специалисты Cisco говорят, что уязвимости подвержена только платформа ASR 9000. Другие решения компании под управлением Cisco IOS-XR 64 bit стабильны. При этом компания пока не зафиксировала попыток провести хакерскую атаку с помощью CVE-2019-1710.
Специалисты Cisco опубликовали патч, который исправляет CVE-2019-1710 в составе IOS XR версий 6.5.3 и 7.0.1. Обновление доступно бесплатно для всех организаций с актуальной лицензией на операционную систему (и тех, кто покупал ее ранее).
Есть и альтернативный вариант — можно прибегнуть к обходному решению, которое полностью нивелирует уязвимость. Сначала нужно подключиться к виртуальной машине администратора:
Затем запустить Bash и отредактировать файл конфигурации calvados_bootstrap.cfg:
В следующих двух строках нужно убрать знак # и сохранить файл.
Если решение имеет две системы RSP, то убрать # нужно в конфигурации каждой из них. Затем достаточно перезагрузить виртуальную машину:
Она должна будет вернуть следующее сообщение:
Параллельно с патчем для CVE-2019-1710, IT-гигант выпустил еще двадцать «заплаток» для менее критичных уязвимостей. Туда вошли шесть багов в протоколе IAPP (Inter-Access Point Protocol), а также в интерфейсе WLC (Wireless LAN Controller) и Cisco VCS Expressway.
В списке продуктов с патчами числятся: UCS B-Series Blade Servers, Cisco Umbrella, DNA Center, Registered Envelope Service, Directory Connector, Prime Network Registrar и др. Полный список можно найти на официальном сайте.
Фото — Mel Clark — PD
Также в начале мая разработчики корпорации закрыли ещё одну уязвимость ASR 9000 и Cisco IOS XR. Она связана с функцией PIM (Protocol Independent Multicast), которая решает проблему групповой маршрутизации. Баг (он получил идентификатор CVE-2019-1712) позволяет злоумышленнику удалённо перезапустить PIM-процесс и провести DoS-атаку.
Кроме того, разработчики опубликовали серию предупреждений, касающихся ранее исправленных уязвимостей. Некоторые из них, по данным ИБ-экспертов, применяет для своих DNS-атак хакерская группа Sea Turtle. Инженеры обещали мониторить ситуацию и публиковать свежие апдейты.
ITGLOBAL.COM — поставщик частного и гибридного облака, а также других услуг, направленных на развитие IT-инфраструктуры наших клиентов. О чем мы пишем в корпоративном блоге:
Фото — ulleo — PD
Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратура класса high-end для дата-центров телекоммуникационных компаний и сотовых операторов, которая обладает пропускной способностью 400 Гбит/с на слот и поддерживает линейные карты 40G/80G.
Уязвимости присвоили идентификатор CVE-2019-1710. Она набрала 9,8 балла из 10 по шкале CVSS.
Этот стандарт разработала группа ИБ-специалистов из таких компаний, как Microsoft, Cisco, CERT, IBM для оценки опасности багов.
Почему она опасна
Баг дает злоумышленникам возможность получить неавторизованный доступ к системным приложениям на виртуальной машине администратора. Хакеры могут удаленно выполнять вредоносный код и проводить DoS-атаки. По словам инженеров Cisco, проблема заключается в неправильной изоляции вторичного интерфейса управления (MGT LAN 1 на процессоре маршрутного переключателя — RSP) от внутренних приложений администратора. Атакующий может эксплуатировать уязвимость, подключившись к одному из них.
Чтобы определить, есть ли проблема на вашей системе, нужно залогиниться на виртуальной машине сисадмина и ввести в консоли команду show interface. Если вторичный интерфейс будет подключен (как в ответе ниже), то маршрутизатор подвержен уязвимости.
sysadmin-vm:0_RSP1:eXR# show interface
Tue Mar 19 19:32:00.839 UTC
MgmtEth0/RSP1/0/0 Link encap: Ethernet HWaddr 08:96:ad:22:7a:31
inet addr: 192.168.0.1
UP RUNNING BROADCAST MULTICAST MTU:1500 Metric:1
RX packets: 14093 errors:0 dropped:1 overruns:0 frame:0
TX packets: 49 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes: 867463 TX bytes: 6889
sysadmin-vm:0_RSP1:eXR#
Специалисты Cisco говорят, что уязвимости подвержена только платформа ASR 9000. Другие решения компании под управлением Cisco IOS-XR 64 bit стабильны. При этом компания пока не зафиксировала попыток провести хакерскую атаку с помощью CVE-2019-1710.
Как её закрыть
Специалисты Cisco опубликовали патч, который исправляет CVE-2019-1710 в составе IOS XR версий 6.5.3 и 7.0.1. Обновление доступно бесплатно для всех организаций с актуальной лицензией на операционную систему (и тех, кто покупал ее ранее).
Есть и альтернативный вариант — можно прибегнуть к обходному решению, которое полностью нивелирует уязвимость. Сначала нужно подключиться к виртуальной машине администратора:
RP/0/RSP1/CPU0:eXR#admin
Tue Mar 12 22:46:37.110 UTC
root connected from 127.0.0.1 using console on host
Затем запустить Bash и отредактировать файл конфигурации calvados_bootstrap.cfg:
sysadmin-vm:0_RSP1:eXR# run bash
Tue Mar 12 22:46:44.224 UTC
bash-4.3# vi /etc/init.d/calvados_bootstrap.cfg
В следующих двух строках нужно убрать знак # и сохранить файл.
#CTRL_VRF=0
#MGMT_VRF=2
Если решение имеет две системы RSP, то убрать # нужно в конфигурации каждой из них. Затем достаточно перезагрузить виртуальную машину:
sysadmin-vm:0_RSP1:eXR# reload admin location 0/RSP1
Tue Mar 12 22:49:28.589 UTC
Reload node ? [no,yes] yes
result Admin VM graceful reload request on 0/RSP1 succeeded.
sysadmin-vm:0_RSP1:eXR# RP/0/RSP1/CPU0:Mar 12 22:49:34.059 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :DECLARE :0/RSP1/CPU0:
Confd is down
RP/0/RSP1/CPU0:eXR#
Она должна будет вернуть следующее сообщение:
RP/0/RSP1/CPU0:eXR#0/RSP1/ADMIN0:Mar 12 22:59:30.220 UTC: envmon[3680]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :Power Module redundancy lost :DECLARE :0:
RP/0/RSP1/CPU0:Mar 12 22:59:33.708 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :CLEAR :0/RSP1/CPU0:
Что еще пропатчили
Параллельно с патчем для CVE-2019-1710, IT-гигант выпустил еще двадцать «заплаток» для менее критичных уязвимостей. Туда вошли шесть багов в протоколе IAPP (Inter-Access Point Protocol), а также в интерфейсе WLC (Wireless LAN Controller) и Cisco VCS Expressway.
В списке продуктов с патчами числятся: UCS B-Series Blade Servers, Cisco Umbrella, DNA Center, Registered Envelope Service, Directory Connector, Prime Network Registrar и др. Полный список можно найти на официальном сайте.
Фото — Mel Clark — PD
Также в начале мая разработчики корпорации закрыли ещё одну уязвимость ASR 9000 и Cisco IOS XR. Она связана с функцией PIM (Protocol Independent Multicast), которая решает проблему групповой маршрутизации. Баг (он получил идентификатор CVE-2019-1712) позволяет злоумышленнику удалённо перезапустить PIM-процесс и провести DoS-атаку.
Кроме того, разработчики опубликовали серию предупреждений, касающихся ранее исправленных уязвимостей. Некоторые из них, по данным ИБ-экспертов, применяет для своих DNS-атак хакерская группа Sea Turtle. Инженеры обещали мониторить ситуацию и публиковать свежие апдейты.
ITGLOBAL.COM — поставщик частного и гибридного облака, а также других услуг, направленных на развитие IT-инфраструктуры наших клиентов. О чем мы пишем в корпоративном блоге:
