НОВИНИ

Що потрібно знати про останній патч Cisco для маршрутизаторів

2019-06-03
Автор: Телесфера

Не так давно IT-гігант оголосив про критичну уразливість в системі ASR 9000. Розповімо, в чому суть бага і як його «залатати».


Фото - ulleo - PD

Уразливість виявили в маршрутизаторах серії ASR 9000, що працюють під управлінням 64-бітної IOS XR. Це - апаратура класу high-end для дата-центрів телекомунікаційних компаній і стільникових операторів, яка має пропускну здатність 400 Гбіт/с на слот і підтримує лінійні карти 40G/80G.


Уразливості привласнили ідентифікатор CVE-2019-1710. Вона набрала 9,8 бали з 10 по шкалі CVSS.


Цей стандарт розробила група ІБ-фахівців з таких компаній, як Microsoft, Cisco, CERT, IBM для оцінки небезпеки багів.

Чому вона небезпечна

Баг дає зловмисникам можливість отримати неавторизований доступ до системних додатків на віртуальній машині адміністратора. Хакери можуть віддалено виконувати шкідливий код і проводити DoS-атаки. За словами інженерів Cisco, проблема полягає в неправильній ізоляції вторинного інтерфейсу управління (MGT LAN 1 на процесорі маршрутного перемикача - RSP) від внутрішніх додатків адміністратора. Атакуючий може експлуатувати уразливість, підключившись до одного з них.

Щоб визначити, чи є проблема на вашій системі, потрібно залогінитися на віртуальній машині сисадміна і ввести в консолі команду show interface. Якщо вторинний інтерфейс буде підключений (як у відповіді нижче), то маршрутизатор схильний уразливості.

sysadmin-vm:0_RSP1:eXR# show interface
Tue Mar 19 19:32:00.839 UTC
MgmtEth0/RSP1/0/0 Link encap: Ethernet HWaddr 08:96:ad:22:7a:31
inet addr: 192.168.0.1
UP RUNNING BROADCAST MULTICAST MTU:1500 Metric:1
RX packets: 14093 errors:0 dropped:1 overruns:0 frame:0
TX packets: 49 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes: 867463 TX bytes: 6889
sysadmin-vm:0_RSP1:eXR#


Фахівці Cisco кажуть, що уразливості схильна тільки платформа ASR 9000. Інші рішення компанії під управлінням Cisco IOS-XR 64 bit стабільні. При цьому компанія поки не зафіксувала спроб провести хакерську атаку за допомогою CVE-2019-1710.

Як її закрити

Фахівці Cisco опублікували патч, який виправляє CVE-2019-1710 у складі IOS XR версій 6.5.3 і 7.0.1. Оновлення доступно безкоштовно для всіх організацій з актуальною ліцензією на операційну систему (і тих, хто купував її раніше).

Є й альтернативний варіант - можна вдатися до обхідного рішенням, яке повністю нівелює вразливість. Спочатку потрібно підключитися до віртуальної машини адміністратора:

RP/0/RSP1/CPU0:eXR#admin
Tue Mar 12 22:46:37.110 UTC

root connected from 127.0.0.1 using console on host

Потім запустити Bash і відредагувати файл конфігурації calvados_bootstrap.cfg:

sysadmin-vm:0_RSP1:eXR# run bash
Tue Mar 12 22:46:44.224 UTC
bash-4.3# vi /etc/init.d/calvados_bootstrap.cfg

У наступних двох рядках потрібно прибрати знак # і зберегти файл.

#CTRL_VRF=0
#MGMT_VRF=2

Якщо рішення має дві системи RSP, то прибрати # потрібно в конфігурації кожної з них. Потім досить перезавантажити віртуальну машину:

sysadmin-vm:0_RSP1:eXR# reload admin location 0/RSP1
Tue Mar 12 22:49:28.589 UTC
Reload node ? [no,yes] yes
result Admin VM graceful reload request on 0/RSP1 succeeded.
sysadmin-vm:0_RSP1:eXR# RP/0/RSP1/CPU0:Mar 12 22:49:34.059 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :DECLARE :0/RSP1/CPU0:
Confd is down

RP/0/RSP1/CPU0:eXR#

Вона повинна буде повернути наступне повідомлення:

RP/0/RSP1/CPU0:eXR#0/RSP1/ADMIN0:Mar 12 22:59:30.220 UTC: envmon[3680]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :Power Module redundancy lost :DECLARE :0:
RP/0/RSP1/CPU0:Mar 12 22:59:33.708 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :CLEAR :0/RSP1/CPU0:

Що ще пропатчили

Паралельно з патчем для CVE-2019-1710, IT-гігант випустив ще двадцять «латок» для менш критичних вразливостей. Туди увійшли шість багів в протоколі IAPP (Inter-Access Point Protocol), а також в інтерфейсі WLC (Wireless LAN Controller) і Cisco VCS Expressway.

У списку продуктів з патчами числяться: UCS B-Series Blade Servers, Cisco Umbrella, DNA Center, Registered Envelope Service, Directory Connector, Prime Network Registrar і ін. Повний список можна знайти на офіційному сайті.

Також на початку травня розробники корпорації закрили ще одну уразливість ASR 9000 IOS XR і Cisco. Вона пов'язана з функцією PIM (Protocol Independent Multicast), яка вирішує проблему групової маршрутизації. Баг (він отримав ідентифікатор CVE-2019-1712) дозволяє зловмисникові віддалено перезапустити PIM-процес і провести DoS-атаку.

Крім того, розробники опублікували серію попереджень, що стосуються раніше виправлених вразливостей. Деякі з них, за даними ІБ-експертів, застосовує для своїх DNS Атак хакерська група морських черепах. Інженери обіцяли моніторити ситуацію і публікувати свіжі апдейти.

Джерело: https://habr.com/ru/company/itglobalcom/blog/454472/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco Security Cloud, розроблена як найбільш відкрита платформа в галузі

Cisco Security Cloud, розроблена як найбільш відкрита платформа в галузі

Під час конференції RSA, RSAC 2022, Cisco оприлюднила своє бачення глобальної уніфікованої платформи для наскрізної безпеки в мультихмарних середовищах. Cisco Security Cloud створено як відкриту платформу безпеки без публічного блокування, що забезпечує стійкість безпеки та захищає цілісність усієї ІТ-екосистеми.

Cisco SD-WAN з AWS Cloud WAN для глобальної хмарної мережі на вимогу

Cisco SD-WAN з AWS Cloud WAN для глобальної хмарної мережі на вимогу

SD-WAN тепер є основною частиною переходу до хмари для організацій, які впроваджують інфраструктуру як послугу для забезпечення доступності додатків на вимогу. Але цей перехід має тривати постійно. Ручне підключення від філії до хмари або регіон за регіоном більше не є ефективним або масштабованим.

Cisco допоможе підприємствам активізувати перехід на гібридну модель роботи

Cisco допоможе підприємствам активізувати перехід на гібридну модель роботи

Сьогодні всі підприємства змушені адаптуватися до масштабних цифрових трансформацій, що відбулися за останні два роки і докорінно змінили їх технологічні стратегії та характер діяльності, включаючи гібридні хмарні середовища для об'єднання приватних та публічних хмар, штучний інтелект та машинне навчання для прискорення впровадження IoT-рішень, гібридну модель роботи для захищеного підключення всіх працівників та всіх цифрових активів. Успішна організація гібридної роботи не обмежується лише ефективною підтримкою віддалених працівників. Необхідно мати можливість адаптуватися до змін у міру їх виникнення, і це насамперед стосується корпоративних мереж.