DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Khóa SSH mặc định trong Cisco Umbrella cho phép đánh cắp thông tin quản trị
Cisco đã phát hành các bản cập nhật để giải quyết lỗ hổng nghiêm trọng cao trong Cisco Umbrella Virtual Appliance (VA), cho phép những kẻ tấn công không cần xác thực đánh cắp thông tin đăng nhập quản trị viên từ xa.
Có mã định danh CVE-2022-20773, lỗi được phát hiện bởi Fraser Hess của Pinnacol Assurance, tồn tại trong cơ chế xác thực SSH dựa trên khóa của Cisco Umbrella VA.
Cisco Umbrella là một dịch vụ bảo mật phân phối qua đám mây, được hơn 24.000 tổ chức sử dụng làm bảo mật lớp DNS để chống lại các cuộc tấn công lừa đảo, phần mềm độc hại và ransomware. Cisco Umbrella sử dụng các máy ảo tại chỗ làm trình chuyển tiếp DNS có điều kiện để ghi lại, mã hóa và xác thực dữ liệu DNS.
Cisco cho biết: "Lỗ hổng bắt nguồn từ sự hiện diện của khóa máy chủ SSH tĩnh. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách thực hiện một cuộc tấn công trung gian vào kết nối SSH với Umbrella VA. Khai thác thành công có thể cho phép kẻ tấn công lấy thông tin đăng nhập của quản trị viên, thay đổi cấu hình hoặc tải lại VA".
Lỗ hổng ảnh hưởng đến Cisco Umbrella VA cho Hyper-V và VMWare ESXi chạy phiên bản phần mềm trước 3.3.2.
Theo Cisco, dịch vụ SSH không được kích hoạt theo mặc định trên các máy ảo tại chỗ Umbrella, điều này giảm đáng kể tác động tổng thể của lỗ hổng. Hiện tại, chưa có mã khai thác công khai cho lỗ hổng này, cũng chưa có bằng chứng nào cho thấy lỗi đã bị khai thác trong thực tế.
Để kiểm tra xem SSH có được bật trong Cisco Umbrella Virtual Appliances hay không, bạn phải đăng nhập vào bảng điều khiển hypervisor, vào chế độ cấu hình bằng cách nhấn CTRL + B và kiểm tra cấu hình của VA bằng cách chạy lệnh config va show.
Đầu ra lệnh phải bao gồm dòng "SSH access: enabled" ở cuối trên các hệ thống đã bật SSH. Nếu kết quả trả về là "SSH access: enabled", điều đó có nghĩa thiết bị bị ảnh hưởng bởi lỗ hổng này.
Cisco chỉ phát hành các bản cập nhật để sửa lỗi mà không đưa ra các biện pháp giảm thiểu nào. Do đó, người dùng nên nâng cấp lên các phiên bản mới càng sớm càng tốt.
Có mã định danh CVE-2022-20773, lỗi được phát hiện bởi Fraser Hess của Pinnacol Assurance, tồn tại trong cơ chế xác thực SSH dựa trên khóa của Cisco Umbrella VA.
Cisco Umbrella là một dịch vụ bảo mật phân phối qua đám mây, được hơn 24.000 tổ chức sử dụng làm bảo mật lớp DNS để chống lại các cuộc tấn công lừa đảo, phần mềm độc hại và ransomware. Cisco Umbrella sử dụng các máy ảo tại chỗ làm trình chuyển tiếp DNS có điều kiện để ghi lại, mã hóa và xác thực dữ liệu DNS.
Cisco cho biết: "Lỗ hổng bắt nguồn từ sự hiện diện của khóa máy chủ SSH tĩnh. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách thực hiện một cuộc tấn công trung gian vào kết nối SSH với Umbrella VA. Khai thác thành công có thể cho phép kẻ tấn công lấy thông tin đăng nhập của quản trị viên, thay đổi cấu hình hoặc tải lại VA".
Lỗ hổng ảnh hưởng đến Cisco Umbrella VA cho Hyper-V và VMWare ESXi chạy phiên bản phần mềm trước 3.3.2.
Theo Cisco, dịch vụ SSH không được kích hoạt theo mặc định trên các máy ảo tại chỗ Umbrella, điều này giảm đáng kể tác động tổng thể của lỗ hổng. Hiện tại, chưa có mã khai thác công khai cho lỗ hổng này, cũng chưa có bằng chứng nào cho thấy lỗi đã bị khai thác trong thực tế.
Để kiểm tra xem SSH có được bật trong Cisco Umbrella Virtual Appliances hay không, bạn phải đăng nhập vào bảng điều khiển hypervisor, vào chế độ cấu hình bằng cách nhấn CTRL + B và kiểm tra cấu hình của VA bằng cách chạy lệnh config va show.
Đầu ra lệnh phải bao gồm dòng "SSH access: enabled" ở cuối trên các hệ thống đã bật SSH. Nếu kết quả trả về là "SSH access: enabled", điều đó có nghĩa thiết bị bị ảnh hưởng bởi lỗ hổng này.
Cisco chỉ phát hành các bản cập nhật để sửa lỗi mà không đưa ra các biện pháp giảm thiểu nào. Do đó, người dùng nên nâng cấp lên các phiên bản mới càng sớm càng tốt.
Theo: bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: