Η Cisco έχει αντιμετωπίσει διάφορα ελαττώματα ασφαλείας που εντοπίζονται στο Enterprise NFV Infrastructure Software (NFVIS), μια λύση που βοηθά στην εικονικοποίηση των υπηρεσιών δικτύου για ευκολότερη διαχείριση των λειτουργιών εικονικού δικτύου (VNF).
Δύο από αυτά, που χαρακτηρίζονται ως κρίσιμα και υψηλής σοβαρότητας, μπορούν να αξιοποιηθούν από εισβολείς για να εκτελέσουν εντολές με δικαιώματα root ή για να ξεφύγουν από την εικονική μηχανή επισκέπτη (VM) και να παραβιάσουν πλήρως τους κεντρικούς υπολογιστές NFVIS.
Η Ομάδα Αντιμετώπισης Συμβάντων Ασφάλειας Προϊόντων (PSIRT) της Cisco λέει ότι δεν υπάρχει κώδικας εκμετάλλευσης απόδειξης ιδέας και δεν υπάρχει συνεχής εκμετάλλευση στη φύση.
Δεδομένου ότι οι εισβολείς μπορούσαν να εκμεταλλευτούν αυτές τις ευπάθειες για να πάρουν τον έλεγχο των επηρεαζόμενων συστημάτων, η CISA εξέδωσε επίσης μια ειδοποίηση την Πέμπτη ζητώντας από τους διαχειριστές να εξετάσουν τις συμβουλές της Cisco και να εφαρμόσουν ενημερώσεις ασφαλείας.
Πρόσβαση root σε κεντρικούς υπολογιστές NFVIS
Ένα από τα ελαττώματα ασφαλείας, μια κρίσιμη διαφυγή επισκέπτη που παρακολουθείται ως CVE-2022-20777, εντοπίστηκε στη λειτουργία Εισόδου/Εξόδου Επόμενης Γενιάς (NGIO) του Cisco Enterprise NFVIS.
Το CVE-2022-20777 προκαλείται από ανεπαρκείς περιορισμούς επισκέπτη και επιτρέπει στους επιτιθέμενους να ξεφύγουν από το Guest VM και να αποκτήσουν πρόσβαση σε επίπεδο root στον κεντρικό υπολογιστή σε επιθέσεις χαμηλής πολυπλοκότητας χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη.
“Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια στέλνοντας μια κλήση API από ένα VM που θα εκτελείται με δικαιώματα σε επίπεδο root στον κεντρικό υπολογιστή NFVIS. Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να υπονομεύσει πλήρως τον κεντρικό υπολογιστή NFVIS”, εξήγησε.
Ένα δεύτερο (που παρακολουθείται ως CVE-2022-20779) είναι μια ευπάθεια έγχυσης εντολών υψηλής σοβαρότητας στη διαδικασία εγγραφής εικόνας του Cisco Enterprise NFVIS λόγω ακατάλληλης επικύρωσης εισόδου.
Οι μη επαληθευμένοι εισβολείς μπορούν να το εκμεταλλευτούν εξ αποστάσεως για να εισάγουν εντολές που εκτελούνται με δικαιώματα root στον κεντρικό υπολογιστή κατά τη διαδικασία εγγραφής εικόνας σε επιθέσεις χαμηλής πολυπλοκότητας που απαιτούν αλληλεπίδραση.
“Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια πείθοντας έναν διαχειριστή στον κεντρικό υπολογιστή να εγκαταστήσει μια εικόνα VM με δημιουργημένα μεταδεδομένα που θα εκτελεί εντολές με δικαιώματα σε επίπεδο ρίζας κατά τη διαδικασία εγγραφής VM”, πρόσθεσε η Cisco.
“Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να εισάγει εντολές με δικαιώματα σε επίπεδο ρίζας στον κεντρικό υπολογιστή NFVIS.”