В обладнанні Cisco, яке використовується в центрах обробки даних, великих підприємствах, промислових фабриках, електростанціях, виробничих центрах і електромережах розумних міст, виявлено вразливість безпеки, яка може надати кібератакникам безперешкодний доступ до цих пристроїв і широких мереж.
В звітом опублікований 1 лютого, дослідники з Trellix виявили помилку, одну з двох виявлених уразливостей, які впливають на такі мережеві пристрої Cisco:
- Маршрутизатори Cisco ISR 4431
- Промислові ISR серії 800
- Обчислювальні модулі CGR1000
- Промислові обчислювальні шлюзи IC3000
- Пристрої на базі IOS XE, налаштовані з IOx
- Промислові маршрутизатори IR510 WPAN
- Точки доступу Cisco Catalyst
Одна помилка — CSCwc67015 — була помічена в коді, який ще не було опубліковано. Це могло дозволити хакерам віддалено виконувати свій власний код і потенційно перезаписувати більшість файлів на пристрої.
Друга, можливо, неприємніша помилка — CVE-2023-20076 — виявлений у виробничому обладнанні, є помилка введення команд, яка може відкрити двері для неавторизованого доступу на кореневому рівні та віддаленого виконання коду (RCE). Це означало б не тільки повний контроль над операційною системою пристрою, але й стійкість під час будь-яких оновлень або перезавантажень, незважаючи на те, що Cisco забороняє такий сценарій.
Враховуючи, що мережеве обладнання Cisco використовується в усьому світі в центрах обробки даних, на підприємствах і в урядових організаціях, і це найбільш загальний За словами Trellix, вплив недоліків може бути помітним.
«У світі маршрутизаторів, комутаторів і мереж Cisco є нинішнім королем ринку», — розповідає Dark Reading Сем Квінн, старший дослідник із питань безпеки Центру передових досліджень Trellix. «Ми б сказали, що це потенційно може зазнати впливу на тисячі підприємств».
Останні помилки безпеки Cisco
За словами Trellix, ці дві вразливості є побічним продуктом зміни природи технологій маршрутизації. Сьогодні мережеві адміністратори мають можливість розгортати контейнери додатків або навіть цілі віртуальні машини на цих мініатюрних маршрутизаторах-серверах. З цією більшою складністю приходить і більша функціональність, і ширша поверхня атаки.
«Сучасні маршрутизатори тепер функціонують як потужні сервери, — пояснили автори звіту, — з багатьма портами Ethernet, на яких працює не лише програмне забезпечення для маршрутизації, а в деяких випадках навіть кілька контейнерів».
І CSCwc67015, і CVE-2023-20076 походять із розширеного середовища розміщення додатків маршрутизатора.
CSCwc67015 відображає, як у середовищі хостингу «зловмисно запакована програма може обійти важливу перевірку безпеки під час розпакування завантаженої програми». Перевірка намагалася захистити систему від 15-річної давності вразливості проходження шляху в модулі Python, який мав сам Trellix ідентифікований минулого вересня, CVE-2007-4559. З «помірним» балом CVSS v3 5.5 він дозволяв зловмисникам перезаписувати довільні файли.
Тим часом помилка, відстежена як CVE-2023-20076, також використовує можливість розгортання контейнерів додатків і віртуальних машин на маршрутизаторах Cisco. У цьому випадку це пов’язано з тим, як адміністратори передають команди для запуску своїх програм.
«Опція «Ідентифікатор клієнта DHCP» у налаштуваннях інтерфейсу була неправильно оброблена», — виявили дослідники, що дозволило їм отримати кореневий доступ до пристрою, маючи на увазі «можливість вставити будь-яку команду ОС за нашим вибором».
Хакер, який зловживав цими повноваженнями, «може мати значний вплив на функціональність пристрою та загальну безпеку мережі», пояснює Квінн, зокрема «змінювати або вимикати функції безпеки, викрадати дані, переривати мережевий трафік, розповсюджувати зловмисне програмне забезпечення та запускати шахрайські процеси. .”
Однак на цьому погані новини не закінчуються. Автори звіту підкреслили, що «Cisco надає значний пріоритет безпеці, намагаючись запобігти тому, щоб атака залишалася проблемою через перезавантаження та скидання системи». Однак у відео для підтвердження концепції вони продемонстрували, як використання помилки впровадження команди може призвести до абсолютно необмеженого доступу, дозволяючи шкідливий контейнер зберігатися через перезавантаження пристрою або оновлення мікропрограми. Це залишає лише два можливі рішення для видалення: повне скидання до заводських налаштувань або ручне визначення та видалення шкідливого коду.
Cisco Industrial Gear: потенційний ризик для ланцюга постачання
Якщо в цих помилках є срібна підкладка, то це те, що для використання будь-якої з них потрібен доступ на рівні адміністратора до відповідного пристрою Cisco. Перешкода, звичайно, але хакери постійно отримують адміністративні привілеї від своїх жертв за допомогою регулярної соціальної інженерії та ескалації. Дослідники також відзначили, що користувачі часто не намагаються змінити ім’я користувача та пароль за замовчуванням, не залишаючи жодного захисту для цього найделікатнішого облікового запису.
Необхідно також враховувати ризик ланцюжка поставок. Автори підкреслили, скільки організацій купують мережеві пристрої у сторонніх продавців або використовують сторонніх постачальників послуг для конфігурації пристроїв і проектування мережі. Зловмисний постачальник може використати вразливість, як-от CVE-2023-20076, для дуже легкого, непомітного та потужного втручання.
Чистий рівень доступу, який надає ця діра, «може дозволити встановити та приховати бекдори, зробивши втручання повністю прозорим для кінцевого користувача», пояснили автори. Звичайно, переважна більшість сторонніх постачальників послуг є абсолютно чесними компаніями. Але ті підприємства може самі be скомпрометований, що робить це спірним питанням.
На завершення свого звіту дослідники Trellix закликали організації перевіряти наявність будь-яких ненормальних контейнерів, встановлених на відповідних пристроях Cisco, і рекомендували організаціям, які не використовують контейнери, повністю вимкнути контейнерну структуру IOx. Найважливішим із усіх, як вони підкреслили, було те, що «організації з ураженими пристроями повинні негайно оновити мікропрограму до останньої версії».
Щоб захистити себе, користувачів слід застосувати пластир якнайшвидше.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/ics-ot/command-injection-bug-cisco-industrial-gear-devices-complete-takeover
- 1
- 7
- a
- здатність
- доступ
- За
- рахунки
- адміністративний
- Адміністратори
- просунутий
- Перевага
- впливати
- проти
- ВСІ
- Дозволити
- та
- додаток
- застосування
- Застосовувати
- атака
- спробував
- Спроби
- authors
- бекдори
- поганий
- буття
- ширше
- Помилка
- помилки
- підприємства
- випадок
- випадків
- Каталізатор
- Центр
- Центри
- ланцюг
- зміна
- перевірка
- Вибираючи
- Cisco
- Місто
- клієнт
- код
- повний
- повністю
- складність
- обчислення
- конфігурація
- Вважати
- Контейнер
- Контейнери
- контроль
- може
- Курс
- Поточний
- темно
- Темне читання
- дані
- центрів обробки даних
- дефолт
- Ступінь
- продемонстрований
- розгортання
- дизайн
- Незважаючи на
- пристрій
- прилади
- відкритий
- Ні
- Двері
- або
- підкреслив
- Машинобудування
- підприємств
- Весь
- повністю
- Навколишнє середовище
- обладнання
- ескалація
- Навіть
- виконувати
- виконання
- пояснені
- Пояснює
- експлуатація
- заводи
- завод
- риси
- Файли
- недолік
- недоліки
- після
- Слід
- знайдений
- Рамки
- від
- функція
- функціональність
- Передача
- Уряд
- надається
- великий
- хакер
- хакери
- сильно
- прихований
- Виділено
- Hole
- хостинг
- Як
- Однак
- HTML
- HTTPS
- ID
- ідентифікує
- негайно
- Impact
- вплив
- важливо
- in
- У тому числі
- промислові
- встановлений
- інтерфейс
- IT
- сам
- King
- великий
- останній
- останній
- вести
- догляд
- Машинки для перманенту
- Більшість
- Робить
- шкідливих програм
- вручну
- виробництво
- багато
- ринок
- сучасний
- Модулі
- найбільш
- множинний
- природа
- мережу
- мережевий трафік
- мережа
- мереж
- новини
- Помітний
- зазначив,
- ONE
- відкрити
- Відкриється
- операційний
- операційна система
- варіант
- організації
- OS
- загальний
- власний
- упакований
- Пароль
- шлях
- наполегливість
- Рослини
- plato
- Інформація про дані Платона
- PlatoData
- точка
- це можливо
- потенціал
- потенційно
- влада
- електростанції
- потужний
- запобігати
- привілеї
- Проблема
- процеси
- Production
- захист
- захист
- провайдери
- забезпечує
- опублікований
- покупка
- Python
- читання
- рекомендований
- Відображає
- регулярний
- доречний
- решті
- віддалений
- видалення
- видалення
- звітом
- вимагати
- дослідження
- дослідник
- Дослідники
- Показали
- Risk
- маршрутизатор
- прогін
- біг
- Сем
- другий
- безпечний
- безпеку
- уразливості безпеки
- Продавці
- старший
- чутливий
- Вересень
- Серія
- Сервери
- обслуговування
- постачальники послуг
- налаштування
- зсув
- Повинен
- значний
- срібло
- Аналогічно
- сайти
- розумний
- Smart City
- соціальна
- Соціальна інженерія
- Софтвер
- Рішення
- деякі
- Поширення
- такі
- поставка
- ланцюжка поставок
- поверхню
- система
- поглинання
- приймає
- Технології
- розповідає
- Команда
- світ
- їх
- самі
- третя сторона
- тисячі
- через
- час
- до
- сьогодні
- Усього:
- трафік
- прозорий
- Оновити
- оновлення
- завантажено
- використання
- користувач
- користувачі
- використовувати
- продавець
- жертви
- Відео
- Віртуальний
- життєво важливий
- Уразливості
- вразливість
- який
- в той час як
- ВООЗ
- ширше
- в
- світ
- світовий
- б
- зефірнет