Не так давно IT-гігант оголосив про критичну уразливість в системі ASR 9000. Розповімо, в чому суть бага і як його «залатати».
Фото - ulleo - PD
Уразливість виявили в маршрутизаторах серії ASR 9000, що працюють під управлінням 64-бітної IOS XR. Це - апаратура класу high-end для дата-центрів телекомунікаційних компаній і стільникових операторів, яка має пропускну здатність 400 Гбіт/с на слот і підтримує лінійні карти 40G/80G.
Уразливості привласнили ідентифікатор CVE-2019-1710. Вона набрала 9,8 бали з 10 по шкалі CVSS.
Цей стандарт розробила група ІБ-фахівців з таких компаній, як Microsoft, Cisco, CERT, IBM для оцінки небезпеки багів.
Чому вона небезпечна
Баг дає зловмисникам можливість отримати неавторизований доступ до системних додатків на віртуальній машині адміністратора. Хакери можуть віддалено виконувати шкідливий код і проводити DoS-атаки. За словами інженерів Cisco, проблема полягає в неправильній ізоляції вторинного інтерфейсу управління (MGT LAN 1 на процесорі маршрутного перемикача - RSP) від внутрішніх додатків адміністратора. Атакуючий може експлуатувати уразливість, підключившись до одного з них.
Щоб визначити, чи є проблема на вашій системі, потрібно залогінитися на віртуальній машині сисадміна і ввести в консолі команду show interface. Якщо вторинний інтерфейс буде підключений (як у відповіді нижче), то маршрутизатор схильний уразливості.
sysadmin-vm:0_RSP1:eXR# show interface
Tue Mar 19 19:32:00.839 UTC
MgmtEth0/RSP1/0/0 Link encap: Ethernet HWaddr 08:96:ad:22:7a:31
inet addr: 192.168.0.1
UP RUNNING BROADCAST MULTICAST MTU:1500 Metric:1
RX packets: 14093 errors:0 dropped:1 overruns:0 frame:0
TX packets: 49 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes: 867463 TX bytes: 6889
sysadmin-vm:0_RSP1:eXR#
Фахівці Cisco кажуть, що уразливості схильна тільки платформа ASR 9000. Інші рішення компанії під управлінням Cisco IOS-XR 64 bit стабільні. При цьому компанія поки не зафіксувала спроб провести хакерську атаку за допомогою CVE-2019-1710.
Як її закрити
Фахівці Cisco опублікували патч, який виправляє CVE-2019-1710 у складі IOS XR версій 6.5.3 і 7.0.1. Оновлення доступно безкоштовно для всіх організацій з актуальною ліцензією на операційну систему (і тих, хто купував її раніше).
Є й альтернативний варіант - можна вдатися до обхідного рішенням, яке повністю нівелює вразливість. Спочатку потрібно підключитися до віртуальної машини адміністратора:
RP/0/RSP1/CPU0:eXR#admin
Tue Mar 12 22:46:37.110 UTC
root connected from 127.0.0.1 using console on host
Потім запустити Bash і відредагувати файл конфігурації calvados_bootstrap.cfg:
sysadmin-vm:0_RSP1:eXR# run bash
Tue Mar 12 22:46:44.224 UTC
bash-4.3# vi /etc/init.d/calvados_bootstrap.cfg
У наступних двох рядках потрібно прибрати знак # і зберегти файл.
#CTRL_VRF=0
#MGMT_VRF=2
Якщо рішення має дві системи RSP, то прибрати # потрібно в конфігурації кожної з них. Потім досить перезавантажити віртуальну машину:
sysadmin-vm:0_RSP1:eXR# reload admin location 0/RSP1
Tue Mar 12 22:49:28.589 UTC
Reload node ? [no,yes] yes
result Admin VM graceful reload request on 0/RSP1 succeeded.
sysadmin-vm:0_RSP1:eXR# RP/0/RSP1/CPU0:Mar 12 22:49:34.059 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :DECLARE :0/RSP1/CPU0:
Confd is down
RP/0/RSP1/CPU0:eXR#
Вона повинна буде повернути наступне повідомлення:
RP/0/RSP1/CPU0:eXR#0/RSP1/ADMIN0:Mar 12 22:59:30.220 UTC: envmon[3680]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :Power Module redundancy lost :DECLARE :0:
RP/0/RSP1/CPU0:Mar 12 22:59:33.708 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :CLEAR :0/RSP1/CPU0:
Що ще пропатчили
Паралельно з патчем для CVE-2019-1710, IT-гігант випустив ще двадцять «латок» для менш критичних вразливостей. Туди увійшли шість багів в протоколі IAPP (Inter-Access Point Protocol), а також в інтерфейсі WLC (Wireless LAN Controller) і Cisco VCS Expressway.
У списку продуктів з патчами числяться: UCS B-Series Blade Servers, Cisco Umbrella, DNA Center, Registered Envelope Service, Directory Connector, Prime Network Registrar і ін. Повний список можна знайти на офіційному сайті.
Також на початку травня розробники корпорації закрили ще одну уразливість ASR 9000 IOS XR і Cisco. Вона пов'язана з функцією PIM (Protocol Independent Multicast), яка вирішує проблему групової маршрутизації. Баг (він отримав ідентифікатор CVE-2019-1712) дозволяє зловмисникові віддалено перезапустити PIM-процес і провести DoS-атаку.
Крім того, розробники опублікували серію попереджень, що стосуються раніше виправлених вразливостей. Деякі з них, за даними ІБ-експертів, застосовує для своїх DNS Атак хакерська група морських черепах. Інженери обіцяли моніторити ситуацію і публікувати свіжі апдейти.
Джерело: https://habr.com/ru/company/itglobalcom/blog/454472/
Про компанію Телесфера Інтеграція.
Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу. Ми розробляємо рішення, що роблять Ваш бізнес успішним.
Основні напрямки роботи компанії:
- Побудова локальних обчислювальних мереж;
- Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
- Продаж телекомунікаційного обладнання;
- Аудит локальних обчислювальних мереж;
e-mail: office@telesphera.net
Телефон: (093) 198-11-82
КОММЕНТАРІ ДО СТАТТІ