WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗ hổng trong thiết bị công nghiệp Cisco cho phép mã độc “bám trụ” cả khi reboot hệ thống
Cisco vừa phát hành bản vá cho lỗ hổng chèn lệnh nghiêm trọng trong môi trường hosting ứng dụng IOx, có thể cho phép mã độc bám trụ sau các lần reboot.
Lỗ hổng, CVE-2023-20076, tồn tại do các tham số được chuyển đến để kích hoạt ứng dụng không được làm sạch hoàn toàn.
Cisco cho biết:“Kẻ tấn công có thể khai thác lỗ hổng bằng cách triển khai và kích hoạt một ứng dụng trong môi trường Cisco IOx với tệp file kích hoạt tự tạo. Khai thác thành công có thể cho phép kẻ tấn công thực thi các lệnh tùy ý với đặc quyền root trên hệ điều hành máy chủ”.
Theo Trellix, công ty an ninh mạng phát hiện ra lỗ hổng, vấn đề nằm ở tùy chọn DHCP Client ID trong phần Cài đặt giao diện. Cụ thể, tùy chọn này không được làm sạch đúng cách, dẫn đến bị chèn lệnh.
Hơn nữa, lỗi cho phép vượt qua các biện pháp giảm thiểu để ngăn chặn sự tồn tại của mã độc sau khi khởi động hoặc cài đặt lại hệ thống.
“CVE-2023-20076 không bị giới hạn truy cập, cho phép mã độc ẩn nấp trong hệ thống và tồn tại sau các lần reboot và nâng cấp firmware. Qua mặt được biện phát an ninh, mã độc sẽ tiếp tục chạy cho đến khi thiết bị được đặt lại về trạng thái ban đầu hoặc cho đến khi nó bị xóa theo cách thủ công”, Trellix giải thích.
Lỗi ảnh hưởng đến tất cả các thiết bị Cisco chạy Phần mềm IOS XE có bật tính năng IOx, nếu không hỗ trợ docker gốc, bao gồm ISR công nghiệp sê-ri 800, Access Point Catalyst (COS-AP), mô-đun điện toán CGR1000, cổng điện toán công nghiệp IC3000 và bộ định tuyến công nghiệp IR510 WPAN.
Cisco đã phát hành các bản cập nhật cho ISR công nghiệp bị ảnh hưởng (phiên bản phần mềm 15.9(3)M7), COS-AP (phiên bản 17.3.8, 17.9.2 và 17.11.1), cổng IC3000 (phiên bản 1.2.1) và các thiết bị chạy trên iOS XE được định cấu hình với IOx (phiên bản 17.3.8, 17.9.2 và 17.11.1).
Các bản cập nhật cho mô-đun điện toán CGR1000 và bộ định tuyến công nghiệp IR510 WPAN sẽ được phát hành trong tháng 2/2023.
Người dùng nên cập nhật các sản phẩm Cisco càng sớm càng tốt và hiện tại chưa có cách giảm thiểu lỗi.
Ngoài CVE-2023-20076, các nhà nghiên cứu an ninh của Trellix cũng tìm ra một lỗi qua mặt bước kiểm tra an ninh trong quá trình trích xuất kho lưu trữ tar, có thể cho phép kẻ tấn công ghi vào hệ điều hành máy chủ với đặc quyền root.
Tuy nhiên, sự cố chỉ ảnh hưởng đến thuật toán nén mà Cisco đang lên kế hoạch triển khai để hỗ trợ đóng gói ứng dụng trong tương lai và không thể bị khai thác. Cisco cũng đã giải quyết lỗi này.
Cisco cho biết chưa có cuộc tấn công nào khai thác CVE-2023-20076. Ngoài ra, Trellix cho biết kẻ tấn công phải được xác thực bằng đặc quyền quản trị viên trên hệ thống thì mới khai thác được.
Tuần này, Cisco cũng phát hành các bản vá cho một số lỗi có mức độ nghiêm trọng trung bình ảnh hưởng đến Công cụ Dịch vụ Nhận dạng (ISE) và Phần mềm Cơ sở hạ tầng Prime. Đồng thời, hãng cảnh báo về sự cố tải file có mức độ nghiêm trọng trung bình, ảnh hưởng đến các bộ định tuyến RV340, RV340W, RV345 và RV345P. Lỗi này sẽ không có bản vá do các sản phẩm bị ảnh hưởng đã hết vòng đời.
Lỗ hổng, CVE-2023-20076, tồn tại do các tham số được chuyển đến để kích hoạt ứng dụng không được làm sạch hoàn toàn.
Cisco cho biết:“Kẻ tấn công có thể khai thác lỗ hổng bằng cách triển khai và kích hoạt một ứng dụng trong môi trường Cisco IOx với tệp file kích hoạt tự tạo. Khai thác thành công có thể cho phép kẻ tấn công thực thi các lệnh tùy ý với đặc quyền root trên hệ điều hành máy chủ”.
Theo Trellix, công ty an ninh mạng phát hiện ra lỗ hổng, vấn đề nằm ở tùy chọn DHCP Client ID trong phần Cài đặt giao diện. Cụ thể, tùy chọn này không được làm sạch đúng cách, dẫn đến bị chèn lệnh.
Hơn nữa, lỗi cho phép vượt qua các biện pháp giảm thiểu để ngăn chặn sự tồn tại của mã độc sau khi khởi động hoặc cài đặt lại hệ thống.
“CVE-2023-20076 không bị giới hạn truy cập, cho phép mã độc ẩn nấp trong hệ thống và tồn tại sau các lần reboot và nâng cấp firmware. Qua mặt được biện phát an ninh, mã độc sẽ tiếp tục chạy cho đến khi thiết bị được đặt lại về trạng thái ban đầu hoặc cho đến khi nó bị xóa theo cách thủ công”, Trellix giải thích.
Lỗi ảnh hưởng đến tất cả các thiết bị Cisco chạy Phần mềm IOS XE có bật tính năng IOx, nếu không hỗ trợ docker gốc, bao gồm ISR công nghiệp sê-ri 800, Access Point Catalyst (COS-AP), mô-đun điện toán CGR1000, cổng điện toán công nghiệp IC3000 và bộ định tuyến công nghiệp IR510 WPAN.
Cisco đã phát hành các bản cập nhật cho ISR công nghiệp bị ảnh hưởng (phiên bản phần mềm 15.9(3)M7), COS-AP (phiên bản 17.3.8, 17.9.2 và 17.11.1), cổng IC3000 (phiên bản 1.2.1) và các thiết bị chạy trên iOS XE được định cấu hình với IOx (phiên bản 17.3.8, 17.9.2 và 17.11.1).
Các bản cập nhật cho mô-đun điện toán CGR1000 và bộ định tuyến công nghiệp IR510 WPAN sẽ được phát hành trong tháng 2/2023.
Người dùng nên cập nhật các sản phẩm Cisco càng sớm càng tốt và hiện tại chưa có cách giảm thiểu lỗi.
Ngoài CVE-2023-20076, các nhà nghiên cứu an ninh của Trellix cũng tìm ra một lỗi qua mặt bước kiểm tra an ninh trong quá trình trích xuất kho lưu trữ tar, có thể cho phép kẻ tấn công ghi vào hệ điều hành máy chủ với đặc quyền root.
Tuy nhiên, sự cố chỉ ảnh hưởng đến thuật toán nén mà Cisco đang lên kế hoạch triển khai để hỗ trợ đóng gói ứng dụng trong tương lai và không thể bị khai thác. Cisco cũng đã giải quyết lỗi này.
Cisco cho biết chưa có cuộc tấn công nào khai thác CVE-2023-20076. Ngoài ra, Trellix cho biết kẻ tấn công phải được xác thực bằng đặc quyền quản trị viên trên hệ thống thì mới khai thác được.
Tuần này, Cisco cũng phát hành các bản vá cho một số lỗi có mức độ nghiêm trọng trung bình ảnh hưởng đến Công cụ Dịch vụ Nhận dạng (ISE) và Phần mềm Cơ sở hạ tầng Prime. Đồng thời, hãng cảnh báo về sự cố tải file có mức độ nghiêm trọng trung bình, ảnh hưởng đến các bộ định tuyến RV340, RV340W, RV345 và RV345P. Lỗi này sẽ không có bản vá do các sản phẩm bị ảnh hưởng đã hết vòng đời.
Nguồn: Security Week
Chỉnh sửa lần cuối: