HR EN
Naslovnica » Sigurnosne objave » Višestruke kritične ranjivosti u CISCO proizvodima

Višestruke kritične ranjivosti u CISCO proizvodima

Skup kritičnih ranjivosti utvrđen je u sljedećim proizvodima: Cisco Adaptive Security Appliance (ASA), Cisco Firepower Threat Defense (FTD), Cisco Secure Firewall Management Center (FMC) i Cisco Nexus Dashboard Fabric Controller (NDFC). Ranjivosti omogućavaju napadačima provođenje različitih vrsta napada, uključujući umetanje naredbi, udaljeno izvršavanje kôda (engl. remote code execution - RCE), proizvoljno izvršavanje naredbi i neautorizirani pristup s pomoću statičkih vjerodajnica zbog neadekvatne provjere unosa ili nesigurnog upravljanja komponentama web usluga. Uspješno iskorištavanje omogućuje napadačima izvođenje proizvoljnih naredbi, stjecanje root razine pristupa putem SSH ili stjecanje neautoriziranog pristupa putem statičkih vjerodajnica. Navedene ranjivosti imaju CVSS ocjene 9 od 10 ili više.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
  1. Ranjivost umetanja naredbi: Ranjivost u web sučelju softvera za upravljanje Cisco Secure Firewall Management Center (FMC) omogućuje autentificiranom, udaljenom napadaču izvođenje proizvoljnih naredbi na temeljnom operativnom sustavu s root privilegijama ili izvođenje naredbi na Cisco Firepower Threat Defense (FTD) uređajima kojima se upravlja. Ova ranjivost proizlazi iz nedovoljne provjere unosa određenih HTTP zahtjeva. Za iskorištavanje ove ranjivosti napadač bi trebao imati valjane vjerodajnice za korisnički račun s ulogom Security Analyst (Read Only).
  2. Ranjivost umetanja naredbi putem SSH: Ranjivost u SSH podsustavu softvera Cisco ASA omogućuje autentificiranom, udaljenom napadaču izvođenje naredbi operativnog sustava kao root. Ova ranjivost nastaje zbog nedovoljne validacije korisničkog unosa prilikom izvođenja udaljenih CLI (engl. Command Line Interface) naredbi preko SSH. Napadač s ograničenim korisničkim privilegijama iskorištava ovu ranjivost kako bi stekao potpunu kontrolu nad sustavom.
  3. Ranjivost proizvoljnog izvođenja naredbi: Ranjivost u REST aplikacijskom programskom sučelju (engl. Application Programming Interface - API) i web sučelju Cisco Nexus Dashboard Fabric Controller (NDFC) omogućuje autentificiranom, udaljenom napadaču s nižim privilegijama provođenje napada umetanja naredbi. Ova ranjivost proizlazi iz neprikladne autorizacije korisnika i nedovoljne provjere argumenata u naredbi, što omogućuje napadačima izvođenje proizvoljnih naredbi na sučelju naredbenog retka (CLI) uređaja upravljanog pomoću Cisco NDFC s privilegijama mrežnog administratora. Ova ranjivost ne zahvaća Cisco NDFC konfiguriran za upravljanje kontrolerom SAN (engl. storage area network) mreže.
  4. Ranjivost statičkih vjerodajnica: Ranjivost u Cisco Firepower Threat Defense (FTD) softveru za Firepower serije 1000, 2100, 3100 i 4200 omogućuje neautentificiranom, lokalnom napadaču pristup ranjivom sustavu pomoću statičkih vjerodajnica. Ova ranjivost proizlazi iz prisutnosti statičkih računa s hardkodiranim lozinkama na ranjivom sustavu. Uspješno iskorištavanje omogućuje napadaču pristup ranjivom sustavu, dohvaćanje osjetljivih informacija, izvođenje ograničenih radnji za otklanjanje poteškoća (engl. troubleshooting), izmjenu nekih konfiguracijskih opcija ili onemogućavanje rada uređaja.

Zahvaćene verzije proizvoda:
  • Cisco Adaptive Security Appliance (ASA) s omogućenim stogom CiscoSSH i dopuštenim SSH pristupom na barem jednom sučelju. 
  • Cisco Secure Firewall Management Center (FMC). 
  • Cisco Nexus Dashboard Fabric Controller (NDFC). 
  • Cisco Firepower Threat Defense (FTD) za Firepower serije 1000, 2100, 3100 i 4200, koji koriste izdanje softvera Cisco FTD 7.1 do 7.4 s bazom ranjivosti (engl. vulnerability database - VDB) izdanja 387 ili ranije.
Preporuke:
  • Nadogradnja na ispravljeni softver: tvrtka Cisco je objavila softverska ažuriranja za otklanjanje navedenih ranjivosti. Preporučuje se žurna nadogradnja svih ranjivih proizvoda Cisco ASA, FMC, FTD i NDFC na najnoviju dostupnu ispravljenu verziju kako je opisano na korisničkom službenom portalu. 
  • Onemogućavanje stoga CiscoSSH: Za ranjivost umetanja naredbi preko SSH i za utvrđivanje je li CiscoSSH stog omogućen na uređaju, potrebno upotrijebiti naredbu show running-config | include ssh i provjeriti prisutnost konfiguracije ssh stack ciscossh
  • Privremeno rješenje za ranjivost statičkih vjerodajnica: Koordinirati implementaciju privremenog rješenja s Cisco tehničkom podrškom (engl. Cisco Technical Assistance Center - TAC), ako nadogradnja na ispravljenu verziju nije odmah dostupna. Za utvrđivanje prisutnosti statičkih računa u nastavku pogledajte odjeljak za detekciju.
Detekcija ranjivosti statičkih računa: 
Za utvrđivanje prisutnosti statičkih računa, koristiti naredbu show local-user iz sigurnosnog opsega u Cisco FXOS CLI. 
Sljedeći specifični računi su statički:
csm_processes 
report 
sftop10user 
Sourcefire 
SRU 
Za otkrivanje pristupa spomenutim računima, pokrenuti sljedeću naredbu iz expert načina rada (engl. expert mode) kao root korisnik, ako nema povratnih podatka, ranjivim računima nije se pristupalo na uređaju tijekom razdoblja zadržavanja dnevničkih zapisa (engl. retention period of the logs):
zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)" /ngfw/var/log/messages*
 
Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 25.10.2024 - 15:11]

Normativni akti


Sigurnosna akreditacija

Standardi sigurnosti

Kriptografska zaštita

Kibernetička sigurnosna certifikacija

Javno regulirane usluge sustava Galileo

© Zavod za sigurnost informacijskih sustava, Fra Filipa Grabovca 3, 10000 Zagreb
Sva prava pridržana