Višestruke ranjivosti u Cisco NX-OS softveru
Dana 28. kolovoza 2024., tvrtka Cisco je izdala zakrpe za više ranjivosti koje zahvaćaju njihov NX-OS softver, prvenstveno korišten u Nexus preklopnicima (engl. switch). Najrizičnija od tih ranjivosti je ranjivost visoke razine rizika koja rezultira uskraćivanjem usluge (engl. Denial of Service - DoS) u DHCPv6 relay agentu, a omogućava neautenticiranom udaljenom napadaču da uzrokuje ponovna učitavanja ranjivih uređaja, što dovodi do stanja uskraćivanja usluge. Pored navedenog, otklonjene su i ranjivosti srednje razine rizika, uključujući probleme koji omogućavaju eskalaciju privilegija i neovlašteno izvršavanje kôda.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
Ranjivost CVE-2024-20446 (CVSS ocjena 8.6), uzrokovana je nepravilnim rukovanjem određenim poljima u DHCPv6 porukama. Slanjem posebno oblikovanih DHCPv6 paketa na ranjivi uređaj, napadač može uzrokovati pad i višestruko ponovno pokretanje procesa dhcp_snoop, što u konačnici prisiljava uređaj na ponovno učitavanje, rezultirajući stanjem uskraćivanja usluge.
Ostale ranjivosti otklonjene ovim ažuriranjem uključuju ranjivost srednje razine rizika koja omogućava napad umetanja naredbi (engl. Command Injection) u NX-OS CLI, što lokalnim napadačima osigurava izvršavanje proizvoljnih naredbi s povišenim privilegijama, također otklonjene su i druge ranjivosti srednje razine rizika vezane uz eskalaciju privilegija (engl. Privilege Escalation) u NX-OS sandbox okruženju, a koje omogućavaju autentificiranim lokalnim napadačima izlazak iz Python sandboxa i dobijanje neovlaštenog pristupa temeljnom operacijskom sustavu.
Zahvaćeni proizvodi:
Ranjivost CVE-2024-20446 zahvaća Cisco Nexus 3000 i 7000 serije preklopnika te Nexus 9000 seriju preklopnika u standalone NX-OS načinu rada, ako su ispunjeni sljedeći uvjeti:
- Pokreću se Cisco NX-OS verzijom 8.2(11), 9.3(9) ili 10.2(1).
- Omogućen je DHCPv6 relay agent.
- Na uređaju je konfigurirana barem jedna IPv6 adresa.
Preporuke:
Preporučuje se primjena Cisco najnovijih dostupnih verzija ispravki za NX-OS sustave. Također se preporuča onemogućavanje DHCPv6 relay agent funkcionalnosti ako nije potrebna u okruženju.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.securityweek.com/cisco-patches-multiple-nx-os-software-vulnerabilities/
- https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-75417
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-dhcp6-relay-dos-znEAA6xn
[inicijalna objava: 3.9.2024 - 11:28]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima