СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
20.05.2022

Уязвимость BDU:2022-03096

Уязвимость BDU:2022-03096

Идентификатор: BDU:2022-03096.

Наименование уязвимости: Уязвимость подсистемы управления пакетами Remote Package Manager (RPM) сетевой операционной системы Cisco IOS XR маршрутизаторов Cisco серии 8000, позволяющая нарушителю получить доступ к базе данных Redis, работающей в контейнере NOSi.

Описание уязвимости: Уязвимость подсистемы управления пакетами Remote Package Manager (RPM) сетевой операционной системы Cisco IOS XR маршрутизаторов Cisco серии 8000 связана с раскрытием защищаемой информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к базе данных Redis, работающей в контейнере NOSi
Уязвимое ПО: Операционная система Cisco Systems Inc. Cisco IOS XR до 7.3.4 |

Наименование ОС и тип аппаратной платформы: Cisco IOS XR до 734 8000 Series Routers |
Дата выявления: 20.05.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

Для проверки, является ли устройство уязвимым необходимо ввести следующую команду в консоль:
run docker ps
Если выходные данные возвращают докер контейнер с именем NOSi, то устройство считается уязвимым. Пример вывода на уязвимом устройстве:
RP/0/RP0/CPU0:8000#run docker ps
Wed May 18 04:54:52.502 UTC
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
54307e434f29 nosi:latest "docker-entrypoint.s…" 9 seconds ago Up 8 seconds NOSi
RP/0/RP0/CPU0:8000#

1. Отключение проверки работоспособности
— для отключения проверки работоспособности требуется ввести следующие команды
RP/0/RP0/CPU0:8000(config)#no healthcheck enable
RP/0/RP0/CPU0:8000(config)#healthcheck use-case asic-reset disable
RP/0/RP0/CPU0:8000(config)#healthcheck use-case packet-drop disable
RP/0/RP0/CPU0:8000(config)#commit
RP/0/RP0/CPU0:8000#
— удаление RPM-проверки работоспособности
RP/0/RP0/CPU0:8000#install package remove xr-healthcheck
Wed May 18 05:00:08.060 UTCInstall remove operation 5.2.2 has started
Install operation will continue in the background
RP/0/RP0/CPU0:8000#
RP/0/RP0/CPU0:8000#install apply restart
Wed May 18 05:01:08.842 UTC
Install apply operation 5.2 has started
Install operation will continue in the background
RP/0/RP0/CPU0:8000#

2. Использование списка управления доступа к инфраструктуре (iACL) с целью ограничения отправки коммуникационных пакетов Redis через TCP-порт 6379.

Информация от разработчика:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-redis-ABJyE5xK.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-20821.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-redis-ABJyE5xK
https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: