В роутерах Cisco серий 4000, ASR 1000 и 1000V обнаружена критическая уязвимость
(CVE-2019-12643), которую оценили на 10 из 10 возможных баллов по шкале угроз CVSS (обычно угрозы уровня Critical получают 7,5-9,1 баллов, редко — 9,8). Соответствующая информация размещена на официальном сайте производителя оборудования.
Уязвимость в контейнере виртуальных сервисов API Cisco REST для ПО Cisco IOS XE позволяет удаленному злоумышленнику обойти аутентификацию на управляемом устройстве без прохождения проверки подлинности.
Инженеры Cisco рекомендуют срочно установить патч на все роутеры под управлением IOS XE, например, с помощью специального инструмента Cisco IOS Software Checker.
Обнаруженный эксплоит позволяет удаленно совершить простой HTTP-запрос, который возвращает ID-токены авторизованных пользователей. Именно последние позволяют обойти проверку подлинности и получить полный доступ к управляемым устройствам. Уровень уязвимости в 10 из 10 возможных баллов по шкале CVSS еще говорит и о том, что эксплоит крайне прост в использовании и не требует каких-то запредельных навыков или особых условий для взлома.
Для восстановления работоспособности проблемной службы необходимо целенаправленно ее обновить. Если у вас нет возможности обновить эту службу, то альтернативным способом защиты может стать ручное отключение API REST Cisco. Важно знать, что просто обновление прошивки Cisco IOS XE не приведет к полному устранению проблемы, а лишь автоматически отключит API REST без его обновления.
Для того, чтобы определить, подвержено ли ваше оборудование Cisco данной уязвимости, перейдите в консоль устройства в качестве администратора, выполните show virtual-service и ddtlbnt привелегированную команду include Restful:
router#show virtual-service detail | include Restful
Restful API Enabled, UP port: 55443
Если введенная команда не существует, возвращает пустые значения или строка Enabled UP отсутствует, то устройство уязвимости не подвержено. В противном случае вам необходимо отключить или обновить контейнер службы REST API.
Адрес исправленного контейнера REST API:
iosxe-remote-mgmt.16.09.03.ova
Также представители компании рекомендуют обновить не только службу, но и всю прошивку Cisco IOS XE до последней версии.
Комментарии (6)
nomadmoon
03.09.2019 03:18Tl;dr если вебморда не включена а роутер управляеться только через ssh то уязвимость работает?
oller
04.09.2019 20:04Как понял, любая уязвимость такого класса, требует обновления ios, при том cisco чаще всего не ограничивается закрытием порта, а советует полностью отключить фишку.
всецело cisco превращается из 247, в 247, кроме дней срочных заплаток, а таких дней уже как-то многовато...
RealBeria
Сдается мне это не баг, а фича американских спецслужб.
0HenrY0
Если оборудование американское, то баг, если китайское — закладка. Классика.
oller
Закладок штук 5, а багов миллион
Ну, так понимаю, чтобы наверняка можно было сделать абсолютно все