DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Cisco cảnh báo về lỗ hổng bảo mật bỏ qua xác thực nghiêm trọng
Cisco vừa khắc phục ba lỗ hổng nghiêm trọng trong các sản phẩm của mình.
Đầu tiên là một lỗ hổng nghiêm trọng trong phần mềm quản lý chính sách liên kết của Cisco Systems có thể cho phép kẻ tấn công từ xa bỏ qua xác thực, tồn tại trong ACI Multi-Site Orchestrator (ACI MSO) của Cisco. ACI MSO là phần mềm quản lý của Cisco dành cho các doanh nghiệp, cho phép họ theo dõi tình trạng của tất cả các trang web quản lý chính sách được liên kết với nhau.
Lỗ hổng bắt nguồn từ việc xác thực token không đúng trên điểm cuối API trong ACI MSO của Cisco.
Theo Cisco, khai thác thành công lỗ hổng cho phép kẻ tấn công nhận được token với các đặc quyền cấp quản trị viên, có thể được sử dụng để xác thực với API trên các thiết bị MSO bị ảnh hưởng và điều khiển thiết bị Application Policy Infrastructure Controller (APIC) của Cisco.
Lỗ hổng (CVE-2021-1388) có điểm CVSS 10, được đánh giá là nghiêm trọng vì kẻ tấn công không yêu cầu quyền xác thực có thể khai thác lỗ hổng từ xa, chỉ bằng cách gửi một yêu cầu được chế tạo đặc biệt tới API bị ảnh hưởng.
Cisco cho biết ACI MSO chạy phiên bản phần mềm 3.0 bị ảnh hưởng. Tuy nhiên, chúng sẽ phải được triển khai trên Cisco Application Services Engine, là nền tảng lưu trữ ứng dụng hợp nhất của công ty để triển khai các ứng dụng trung tâm dữ liệu. ACI MSO có thể được triển khai dưới dạng một cụm trong Cisco Application Services Engine hoặc được triển khai trong các nút dưới dạng máy ảo trên một phần mềm giám sát máy ảo.
Cisco chưa thấy bấy kỳ bằng chứng nào về việc lỗ hổng đang bị khai thác trong thực tế. Để tìm hiểu thêm thông tin về lỗ hổng này, người dùng có thể suy cập vào trang thông báo bảo mật của Cisco.
Cisco cũng vá một lỗ hổng trong NX-OS, hệ điều hành mạng của Cisco cho các thiết bị chuyển mạch Ethernet dòng Nexus. Lỗ hổng này có điểm CVSS là 9,8/10, có thể cho phép kẻ tấn công từ xa không cần xác thực xóa hoặc ghi đè các tệp tùy ý với đặc quyền root trên thiết bị bị ảnh hưởng, gồm thiết bị chuyển mạch Cisco Nexus 3000 Series và 9000 Series.
Lỗ hổng (CVE-2021-1361) bắt nguồn từ một lỗi khi triển khai dịch vụ quản lý tệp nội bộ, tồn tại do cổng TCP 9075 được cấu hình không chính xác khi nhận và phản hồi các yêu cầu kết nối bên ngoài.
“Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các gói TCP đã được chế tạo đặc biệt tới một địa chỉ IP được cấu hình trên giao diện cục bộ trên cổng TCP 9075. Việc khai thác thành công có thể cho phép kẻ tấn công tạo, xóa hoặc ghi đè lên các tệp tùy ý, bao gồm các tệp nhạy cảm liên quan đến cấu hình thiết bị.”
Kẻ tấn công cũng có thể sử dụng lỗ hổng này làm bàn đạp để thực hiện các hoạt động khác như thêm tài khoản người dùng mà quản trị viên không hề hay biết.
Thiết bị chuyển mạch dòng Nexus 3000 và Nexus 9000 “dễ bị tấn công theo mặc định”. Do đó, điều quan trọng là người dùng phải cập nhật càng sớm càng tốt. Cisco đã đưa ra hướng dẫn chi tiết về cách triển khai các bản vá bảo mật, người dùng quan tâm có thể xem chi tiết tại đây.
Một lỗ hổng nghiêm trọng khác tồn tại trong Application Services Engine, có thể cho phép kẻ tấn công từ xa không cần xác thực có được quyền truy cập với đặc quyền cao vào các hoạt động cấp máy chủ. Từ đó, tin tặc có thể thu thập thông tin về thiết bị cụ thể, tạo tệp diagnostic (tệp này lưu trữ các dữ liệu mà hệ điều hành đang thu thập từ người dùng) và thực hiện các thay đổi cấu hình ở mức độ hạn chế.
Lỗ hổng (CVE-2021-1393) ảnh hưởng đến các bản phát hành Application Services Engine 1.1 (3d) trở về trước. Điểm số mức độ nguy hiểm CVSS là 9,8 trên 10.
“Lỗ hổng là do không có đủ các biện pháp kiểm soát truy cập cho một dịch vụ chạy trong mạng dữ liệu. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các yêu cầu TCP được tạo đặc biệt tới một dịch vụ cụ thể. Khai thác thành công có thể cho phép kẻ tấn công có quyền truy cập với đặc quyền cao để chạy các vùng chứa hoặc gọi các hoạt động ở cấp độ máy chủ".
Đầu tiên là một lỗ hổng nghiêm trọng trong phần mềm quản lý chính sách liên kết của Cisco Systems có thể cho phép kẻ tấn công từ xa bỏ qua xác thực, tồn tại trong ACI Multi-Site Orchestrator (ACI MSO) của Cisco. ACI MSO là phần mềm quản lý của Cisco dành cho các doanh nghiệp, cho phép họ theo dõi tình trạng của tất cả các trang web quản lý chính sách được liên kết với nhau.
Lỗ hổng bắt nguồn từ việc xác thực token không đúng trên điểm cuối API trong ACI MSO của Cisco.
Theo Cisco, khai thác thành công lỗ hổng cho phép kẻ tấn công nhận được token với các đặc quyền cấp quản trị viên, có thể được sử dụng để xác thực với API trên các thiết bị MSO bị ảnh hưởng và điều khiển thiết bị Application Policy Infrastructure Controller (APIC) của Cisco.
Lỗ hổng (CVE-2021-1388) có điểm CVSS 10, được đánh giá là nghiêm trọng vì kẻ tấn công không yêu cầu quyền xác thực có thể khai thác lỗ hổng từ xa, chỉ bằng cách gửi một yêu cầu được chế tạo đặc biệt tới API bị ảnh hưởng.
Cisco cho biết ACI MSO chạy phiên bản phần mềm 3.0 bị ảnh hưởng. Tuy nhiên, chúng sẽ phải được triển khai trên Cisco Application Services Engine, là nền tảng lưu trữ ứng dụng hợp nhất của công ty để triển khai các ứng dụng trung tâm dữ liệu. ACI MSO có thể được triển khai dưới dạng một cụm trong Cisco Application Services Engine hoặc được triển khai trong các nút dưới dạng máy ảo trên một phần mềm giám sát máy ảo.
Cisco chưa thấy bấy kỳ bằng chứng nào về việc lỗ hổng đang bị khai thác trong thực tế. Để tìm hiểu thêm thông tin về lỗ hổng này, người dùng có thể suy cập vào trang thông báo bảo mật của Cisco.
Cisco cũng vá một lỗ hổng trong NX-OS, hệ điều hành mạng của Cisco cho các thiết bị chuyển mạch Ethernet dòng Nexus. Lỗ hổng này có điểm CVSS là 9,8/10, có thể cho phép kẻ tấn công từ xa không cần xác thực xóa hoặc ghi đè các tệp tùy ý với đặc quyền root trên thiết bị bị ảnh hưởng, gồm thiết bị chuyển mạch Cisco Nexus 3000 Series và 9000 Series.
Lỗ hổng (CVE-2021-1361) bắt nguồn từ một lỗi khi triển khai dịch vụ quản lý tệp nội bộ, tồn tại do cổng TCP 9075 được cấu hình không chính xác khi nhận và phản hồi các yêu cầu kết nối bên ngoài.
“Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các gói TCP đã được chế tạo đặc biệt tới một địa chỉ IP được cấu hình trên giao diện cục bộ trên cổng TCP 9075. Việc khai thác thành công có thể cho phép kẻ tấn công tạo, xóa hoặc ghi đè lên các tệp tùy ý, bao gồm các tệp nhạy cảm liên quan đến cấu hình thiết bị.”
Kẻ tấn công cũng có thể sử dụng lỗ hổng này làm bàn đạp để thực hiện các hoạt động khác như thêm tài khoản người dùng mà quản trị viên không hề hay biết.
Thiết bị chuyển mạch dòng Nexus 3000 và Nexus 9000 “dễ bị tấn công theo mặc định”. Do đó, điều quan trọng là người dùng phải cập nhật càng sớm càng tốt. Cisco đã đưa ra hướng dẫn chi tiết về cách triển khai các bản vá bảo mật, người dùng quan tâm có thể xem chi tiết tại đây.
Một lỗ hổng nghiêm trọng khác tồn tại trong Application Services Engine, có thể cho phép kẻ tấn công từ xa không cần xác thực có được quyền truy cập với đặc quyền cao vào các hoạt động cấp máy chủ. Từ đó, tin tặc có thể thu thập thông tin về thiết bị cụ thể, tạo tệp diagnostic (tệp này lưu trữ các dữ liệu mà hệ điều hành đang thu thập từ người dùng) và thực hiện các thay đổi cấu hình ở mức độ hạn chế.
Lỗ hổng (CVE-2021-1393) ảnh hưởng đến các bản phát hành Application Services Engine 1.1 (3d) trở về trước. Điểm số mức độ nguy hiểm CVSS là 9,8 trên 10.
“Lỗ hổng là do không có đủ các biện pháp kiểm soát truy cập cho một dịch vụ chạy trong mạng dữ liệu. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các yêu cầu TCP được tạo đặc biệt tới một dịch vụ cụ thể. Khai thác thành công có thể cho phép kẻ tấn công có quyền truy cập với đặc quyền cao để chạy các vùng chứa hoặc gọi các hoạt động ở cấp độ máy chủ".
Theo: threatpost
Chỉnh sửa lần cuối bởi người điều hành: