Cisco, iOS XR yönlendirici yazılımında, kimlik doğrulanmamış saldırganların NOSI Docker kaplarında çalışan REDIS örneklerine uzaktan erişmesine izin veren sıfır günlük bir güvenlik açığı ele aldı.
IOS XR Network OS, NCS 540 & 560, NCS 5500, 8000 ve ASR 9000 Serisi yönlendiricileri dahil olmak üzere birden fazla Cisco yönlendirici platformuna dağıtılır.
Bir Cisco TAC (Teknik Yardım Merkezi) destek davasının çözünürlüğü sırasında hata (CVE-2022-20821 olarak izlendi) keşfedildi.
Cisco, "Bu güvenlik açığı var, çünkü sağlık kontrolü RPM, aktivasyon üzerine varsayılan olarak TCP bağlantı noktası 6379'u açıyor. Bir saldırgan, açık bağlantı noktasındaki Redis örneğine bağlanarak bu güvenlik açığını kullanabilir."
"Başarılı bir istismar, saldırganın REDIS bellek içi veritabanına yazmasına, kaplama dosya sistemine keyfi dosyalar yazmasına ve Redis veritabanı hakkında bilgi almasına izin verebilir."
Neyse ki, saldırganlar bu güvenlik açığından başarılı bir şekilde yararlansa bile, Redis örneği kum havuzu kapsayıcısında çalıştığı için kodu uzaktan yürütemez veya ana bilgisayar sisteminin bütünlüğünü tehlikeye atamazlar.
Kusur yalnızca sağlık kontrolü RPM'sinin kurulduğu ve aktif olduğu Cisco 8000 Serisi yönlendiricilerini etkilerken, Cisco Cuma günü yayınlanan bir danışmanlıkta müşterileri savunmasız yazılımları çalıştıran cihazlarda geçici çözümler uygulamaya veya uygulamaya çağırdı.
Şirket, "Mayıs 2022'de Cisco PSIRT, vahşi doğada bu kırılganlığın sömürülmesi girişiminin farkına vardı." Dedi.
"Cisco, müşterilerin bu güvenlik açığını gidermek için uygun bir yazılım sürümüne uygun geçici çözüm veya yükseltme uygulamalarını şiddetle tavsiye ediyor."
Ağ satıcısı ayrıca CVE-2022-20821 güvenlik açığını azaltmak için güvenlik güncellemelerini hemen uygulayamayan müşteriler için geçici çözümler sağlar.
İlk geçici çözüm, yöneticilerin sağlık kontrolünü devre dışı bırakmasını ve sağlık kontrolü RPM'sini savunmasız cihazlardan kaldırmasını gerektirir. Bir cihazın etkilenip etkilenmediğini bulmak için Docker PS komutunu yayınlamanız ve NOSI adlı bir Docker kapsayıcısı aramanız gerekir.
Yöneticiler ayrıca 6379 numaralı bağlantı noktasını engellemek için bir Altyapı Erişim Kontrol Listesi (IACLS) kullanabilirler, liman saldırganları maruz kalan REDIS örneğine erişmeyi hedefleyecektir.
Cisco, "Müşteriler, uygulanan herhangi bir geçici çözüm veya azaltmanın, iç müşteri dağıtım senaryolarına ve sınırlamalarına göre ağlarının işlevselliğini veya performansını olumsuz etkileyebileceğinin farkında olmalıdır." Dedi.
"Müşteriler, ilk olarak kendi ortamlarına uygulanabilirliği ve bu çevreye herhangi bir etkiyi değerlendirmeden önce herhangi bir geçici çözüm veya hafifletme dağıtmamalıdır."
Daha önce, Cisco, kimlik doğrulanmamış saldırganların kök ayrıcalıklarıyla komutları uzaktan çalıştırmasına izin verebilecek NFVIS hataları ve uzaktan yetkilendirilmemiş saldırganların yönetici kimlik bilgilerini çalmasına izin veren bir Cisco Şemsiyesi Sanal Cihazı (VA) sabitledi.
VMware Yamaları Kritik Auth Bypass kusurunu birden çok üründe
Sonicwall ‘Güçlü Dönüşler’ Adamları SSLVPN SMA1000 Bugs Yaması
Cisco, Root ve Highack ana bilgisayarları kazanmaya yardımcı olan nfvis hatalarını düzeltir
Synology çoklu ürünlerde kritik netatalk hataları uyarıyor
2021 sırasında çoğu sıfır gün istismarının arkasındaki Çinli hackerlar
Kaynak: Bleeping Computer