Η Cisco ενημέρωσε τους πελάτες την Παρασκευή ότι έχει επίγνωση των απόπειρων εκμετάλευσης που στοχεύουν μια νέα ευπάθεια που επηρεάζει το λογισμικό της IOS XR.
Το ελάττωμα, που παρακολουθείται ωςCVE, ανακαλύφθηκε από τη Cisco κατά την επίλυση μιας υπόθεσης υποστήριξης. Απόπειρες εκμετάλλευσης εντοπίστηκαν κάποια στιγμή αυτόν τον μήνα, αλλά δεν έχουν γίνει διαθέσιμες πρόσθετες πληροφορίες σχετικά με αυτές τις επιθέσεις.
Η ευπάθεια, η οποία έχει βαθμολογία «μέτριας σοβαρότητας» με βάση τη βαθμολογία CVSS 6,5, μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας να αποκτήσει πρόσβαση σε μια παρουσία Redis που εκτελείται μέσα σε ένα κοντέινερ που ονομάζεται «NOSi».
Το ζήτημα επηρεάζει τον έλεγχο υγείας RPM στο λογισμικό IOS XR και σχετίζεται με τη θύρα TCP 6379, την οποία το RPM ανοίγει από προεπιλογή κατά την ενεργοποίηση.
«Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια συνδέοντας την παρουσία του Redis στην ανοιχτή θύρα. Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να γράψει στη βάση δεδομένων της μνήμης Redis, να γράψει αυθαίρετα αρχεία στο σύστημα αρχείων του κοντέινερ και να ανακτήσει πληροφορίες σχετικά με τη βάση δεδομένων Redis», ανέφερε η Cisco στη συμβουλευτική της.
Ωστόσο, ο γίγαντας δικτύωσης σημείωσε, «Δεδομένης της διαμόρφωσης του περιέκτη sandbox στο οποίο εκτελείται η παρουσία Redis, ένας απομακρυσμένος εισβολέας δεν θα μπορούσε να εκτελέσει απομακρυσμένο κώδικα ή να καταχραστεί την ακεραιότητα του συστήματος κεντρικού υπολογιστή Cisco IOS XR Software».
Η ευπάθεια φαίνεται να επηρεάζει μόνο τους δρομολογητές της σειράς Cisco 8000 που εκτελούν IOS XR 7.3.3 με ενεργό τον έλεγχο υγείας RPM. Στην έκδοση 7.3.4 περιλαμβάνεται ενημερωμένη έκδοση κώδικα.
Η Cisco έχει παράσχει οδηγίες για τον προσδιορισμό του εάν μια συσκευή είναι ευάλωτη, καθώς και λεπτομερείς πληροφορίες για την εφαρμογή εναλλακτικών λύσεων.
Τον Μάρτιο, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προειδοποίησε ότι πολλά τρωτά σημεία που επηρεάζουν ορισμένους από τους δρομολογητές μικρών επιχειρήσεων της Cisco, τους οποίους ο πωλητής είχε επιδιορθώσει τον Φεβρουάριο, έχουν εκμεταλλευτεί σε επιθέσεις. Ωστόσο, η Cisco δεν φαίνεται να έχει επιβεβαιώσει τις απόπειρες εκμετάλλευσης, καθώς η συμβουλευτική της εταιρεία εξακολουθεί να μην αναφέρει επιθέσεις.
Ωστόσο, δεν είναι ασυνήθιστο για τους παράγοντες απειλών να στοχεύουν τρωτά σημεία σε συσκευές Cisco – συμπεριλαμβανομένων ελαττωμάτων μέσης σοβαρότητας – επομένως είναι σημαντικό οι χρήστες να εφαρμόζουν ενημερώσεις κώδικα ή λύσεις το συντομότερο δυνατό, ιδιαίτερα όταν ο κίνδυνος εκμετάλλευσης φαίνεται υψηλός.
