Višestruke ranjivosti u Cisco NX-OS softveru

Dana 28. kolovoza 2024., tvrtka Cisco je izdala zakrpe za više ranjivosti koje zahvaćaju njihov NX-OS softver, prvenstveno korišten u Nexus preklopnicima (engl. switch). Najrizičnija od tih ranjivosti je ranjivost visoke razine rizika koja rezultira uskraćivanjem usluge (engl. Denial of Service - DoS) u DHCPv6 relay agentu, a omogućava neautenticiranom udaljenom napadaču da uzrokuje ponovna učitavanja ranjivih uređaja, što dovodi do stanja uskraćivanja usluge. Pored navedenog, otklonjene su i ranjivosti srednje razine rizika, uključujući probleme koji omogućavaju eskalaciju privilegija i neovlašteno izvršavanje kôda.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
Ranjivost CVE-2024-20446 (CVSS ocjena 8.6), uzrokovana je nepravilnim rukovanjem određenim poljima u DHCPv6 porukama. Slanjem posebno oblikovanih DHCPv6 paketa na ranjivi uređaj, napadač može uzrokovati pad i višestruko ponovno pokretanje procesa dhcp_snoop, što u konačnici prisiljava uređaj na ponovno učitavanje, rezultirajući stanjem uskraćivanja usluge.
 
Ostale ranjivosti otklonjene ovim ažuriranjem uključuju ranjivost srednje razine rizika koja omogućava napad umetanja naredbi (engl. Command Injection) u NX-OS CLI, što lokalnim napadačima osigurava izvršavanje proizvoljnih naredbi s povišenim privilegijama, također otklonjene su i druge ranjivosti srednje razine rizika vezane uz eskalaciju privilegija (engl. Privilege Escalation) u NX-OS sandbox okruženju, a koje omogućavaju autentificiranim lokalnim napadačima izlazak iz Python sandboxa i dobijanje neovlaštenog pristupa temeljnom operacijskom sustavu.

Zahvaćeni proizvodi:
Ranjivost CVE-2024-20446 zahvaća Cisco Nexus 3000 i 7000 serije preklopnika te Nexus 9000 seriju preklopnika u standalone NX-OS načinu rada, ako su ispunjeni sljedeći uvjeti:
  • Pokreću se Cisco NX-OS verzijom 8.2(11), 9.3(9) ili 10.2(1).
  • Omogućen je DHCPv6 relay agent.
  • Na uređaju je konfigurirana barem jedna IPv6 adresa.
Preporuke:
Preporučuje se primjena Cisco najnovijih dostupnih verzija ispravki za NX-OS sustave. Također se preporuča onemogućavanje DHCPv6 relay agent funkcionalnosti ako nije potrebna u okruženju.

Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 3.9.2024 - 11:28]