Поделиться
«Дыра» в устройствах Cisco активно эксплуатируется. Компания экстренно выпускает патчи
Уязвимость в программных оболочках сетевых устройств Cisco, оценённая в 6,6 балла по шкале CVSS, вынудила вендора срочно выпускать патчи, поскольку кто-то уже пытается её эксплуатировать.
Вроде и не очень опасно...
Cisco выпустила патчи и бюллетень безопасности по поводу новой уязвимости нулевого дня в программных оболочках устройств компании - IOS (не путаться с iOS) и IOS XE. Системным администраторам настоятельно рекомендуется срочно установить обновления. Любопытно, что в этот раз речь идёт об одной-единственной уязвимости среднего уровня опасности. Несмотря на это, хакеры уже активно пытаются её эксплуатировать.
«Баг» CVE-2023-20109, получивший индекс CVSS 6,6 балла, связан с некорректной валидацией атрибута в протоколах GDOI и G-IKEv2 в функции GET VPN в операционных системах IOS/IOS XE.
Но есть нюанс
При соблюдений определённых условий злоумышленник может добиться запуска произвольного кода в системе и получить полный доступ ко всему её функционалу. Или просто вызвать сбой в её работе.
Эксплуатация возможна посредством компрометации встроенного сервера ключей: злоумышленник взламывает существующий ключевой сервер и получает возможность изменять пакеты GDOI или G-IKEv2, которые ключевой сервер отправляет члену группы.
Либо же атакующий сам создаёт и устанавливает свой собственный ключевой сервер и перенастраивает члена группы для связи с этим ключевым сервером.
И ещё один нюанс
Использование этого способа, однако, требует выполнения ряда условий.
Злоумышленник входит в систему как авторизированный пользователь с административными полномочиями, дающими ему право перенастраивать члена группы для подключения к управляемому ключевому серверу.
То есть, злоумышленник уже должен иметь доступ к среде IOS/IOS XE, причём с высоким уровнем привилегий, т.е. быть администратором.
Несмотря на это в Cisco уже отмечают попытки хакеров (видимо, успешные) эксплуатировать эту уязвимость. Поэтому системным администраторам настоятельно рекомендуется как можно скорее установить обновления.
«Довольно редкий случай, когда уязвимость среднего уровня угрозы привлекает такое внимание, хотя и не является частью цепочки эксплойтов, и к тому же требует соблюдения большого количества условий для успешной эксплуатации, - говорит Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - Однако сам факт того, что эту уязвимость уже эксплуатируют, и, судя по переполоху, успешно, подтверждает, что и среднеопасные уязвимости нельзя обходить вниманием».
Сами нашли
Уязвимость содержится во всех устройствах, работающих на базе IOS/IOS XE и использующих протоколы GDOI или G-IKEv2. Разработки на базе IOS XR или NX-OS не позволяют эксплуатировать эту уязвимость в принципе.
В бюллетени Cisco указывается, что уязвимость обнаружили сами сотрудники компании после выявления попыток произвести атаку через GET VPN. За этим последовала техническая ревизия кода, позволившая устранить «баг».
Короткая ссылка
