Описание
Уязвимость подсистемы управления пакетами Remote Package Manager (RPM) сетевой операционной системы Cisco IOS XR маршрутизаторов Cisco серии 8000 связана с раскрытием защищаемой информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к базе данных Redis, работающей в контейнере NOSi
Вендор
Cisco Systems Inc.
Наименование ПО
Cisco IOS XR
Версия ПО
до 7.3.4 (Cisco IOS XR)
Тип ПО
Операционная система
Операционные системы и аппаратные платформы
Cisco Systems Inc. Cisco IOS XR до 7.3.4
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
Для проверки, является ли устройство уязвимым необходимо ввести следующую команду в консоль:
run docker ps
Если выходные данные возвращают докер контейнер с именем NOSi, то устройство считается уязвимым. Пример вывода на уязвимом устройстве:
RP/0/RP0/CPU0:8000#run docker ps
Wed May 18 04:54:52.502 UTC
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
54307e434f29 nosi:latest "docker-entrypoint.s…" 9 seconds ago Up 8 seconds NOSi
RP/0/RP0/CPU0:8000#
1. Отключение проверки работоспособности
- для отключения проверки работоспособности требуется ввести следующие команды
RP/0/RP0/CPU0:8000(config)#no healthcheck enable
RP/0/RP0/CPU0:8000(config)#healthcheck use-case asic-reset disable
RP/0/RP0/CPU0:8000(config)#healthcheck use-case packet-drop disable
RP/0/RP0/CPU0:8000(config)#commit
RP/0/RP0/CPU0:8000#
- удаление RPM-проверки работоспособности
RP/0/RP0/CPU0:8000#install package remove xr-healthcheck
Wed May 18 05:00:08.060 UTCInstall remove operation 5.2.2 has started
Install operation will continue in the background
RP/0/RP0/CPU0:8000#
RP/0/RP0/CPU0:8000#install apply restart
Wed May 18 05:01:08.842 UTC
Install apply operation 5.2 has started
Install operation will continue in the background
RP/0/RP0/CPU0:8000#
2. Использование списка управления доступа к инфраструктуре (iACL) с целью ограничения отправки коммуникационных пакетов Redis через TCP-порт 6379.
Информация от разработчика:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-redis-ABJyE5xK
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
6.5 Medium
CVSS3
6.4 Medium
CVSS2
6.5 Medium
CVSS3
6.4 Medium
CVSS2