В роутерах Cisco серий 4000, ASR 1000 и 1000V обнаружена критическая уязвимость
(CVE-2019-12643), которую оценили на 10 из 10 возможных баллов по шкале угроз CVSS (обычно угрозы уровня Critical получают 7,5-9,1 баллов, редко — 9,8). Соответствующая информация размещена на официальном сайте производителя оборудования.

Уязвимость в контейнере виртуальных сервисов API Cisco REST для ПО Cisco IOS XE позволяет удаленному злоумышленнику обойти аутентификацию на управляемом устройстве без прохождения проверки подлинности.

Инженеры Cisco рекомендуют срочно установить патч на все роутеры под управлением IOS XE, например, с помощью специального инструмента Cisco IOS Software Checker.

Обнаруженный эксплоит позволяет удаленно совершить простой HTTP-запрос, который возвращает ID-токены авторизованных пользователей. Именно последние позволяют обойти проверку подлинности и получить полный доступ к управляемым устройствам. Уровень уязвимости в 10 из 10 возможных баллов по шкале CVSS еще говорит и о том, что эксплоит крайне прост в использовании и не требует каких-то запредельных навыков или особых условий для взлома.

Для восстановления работоспособности проблемной службы необходимо целенаправленно ее обновить. Если у вас нет возможности обновить эту службу, то альтернативным способом защиты может стать ручное отключение API REST Cisco. Важно знать, что просто обновление прошивки Cisco IOS XE не приведет к полному устранению проблемы, а лишь автоматически отключит API REST без его обновления.

Для того, чтобы определить, подвержено ли ваше оборудование Cisco данной уязвимости, перейдите в консоль устройства в качестве администратора, выполните show virtual-service и ddtlbnt привелегированную команду include Restful:

router#show virtual-service detail | include Restful
Restful API Enabled, UP port: 55443


Если введенная команда не существует, возвращает пустые значения или строка Enabled UP отсутствует, то устройство уязвимости не подвержено. В противном случае вам необходимо отключить или обновить контейнер службы REST API.

Адрес исправленного контейнера REST API:

iosxe-remote-mgmt.16.09.03.ova

Также представители компании рекомендуют обновить не только службу, но и всю прошивку Cisco IOS XE до последней версии.

Комментарии (6)


  1. RealBeria
    02.09.2019 21:58
    +1

    Сдается мне это не баг, а фича американских спецслужб.


    1. 0HenrY0
      02.09.2019 22:17
      +2

      Если оборудование американское, то баг, если китайское — закладка. Классика.


      1. oller
        04.09.2019 19:51

        Закладок штук 5, а багов миллион
        Ну, так понимаю, чтобы наверняка можно было сделать абсолютно все


  1. nomadmoon
    03.09.2019 03:18

    Tl;dr если вебморда не включена а роутер управляеться только через ssh то уязвимость работает?


    1. oller
      04.09.2019 20:04

      Как понял, любая уязвимость такого класса, требует обновления ios, при том cisco чаще всего не ограничивается закрытием порта, а советует полностью отключить фишку.
      всецело cisco превращается из 247, в 247, кроме дней срочных заплаток, а таких дней уже как-то многовато...


  1. lebedinskiy
    03.09.2019 10:41

    Акции Tenda и Totolink теперь взлетят!