Cisco przystąpiło do naprawienia dwóch luk w zabezpieczeniach, które mogły doprowadzić do ataków na łańcuch dostaw użytkowników. Błędy zostały odkryte przez badaczy Trellix, Sama Quinna oraz Kasimira Schulza i mają wpływ na szeroką gamę produktów sprzętowych sieci korporacyjnych oraz przemysłowych. Pozostawienie ich bez kontroli może umożliwić atakującym uzyskanie trwałego dostępu „root” do systemu bazowego.
Producent wydał łatki usuwające lukę o wysokim stopniu ważności (CVE-2023-20076), wykrytą w niektórych routerach przemysłowych, bramach i korporacyjnych punktach dostępu bezprzewodowego, które mogą pozwolić atakującym na wstawienie złośliwego kodu. Nie można usunąć go przez zwykłe ponowne uruchomienie urządzenia lub aktualizację jego systemu układowego.
Informacje o luce CVE-2023-20076
Podatność CVE-2023-20076 została wykryta przez badaczy w routerze Cisco ISR 4431, a dokładniej w środowisku hostingu aplikacji Cisco IOx, które umożliwia administratorom wdrażanie kontenerów aplikacji lub maszyn wirtualnych bezpośrednio na urządzeniach Cisco.
„Luka wynika z niepełnego oczyszczenia parametrów przekazywanych w celu aktywacji aplikacji. Osoba atakująca może wykorzystać lukę, wdrażając i aktywując aplikację w środowisku hostingu aplikacji Cisco IOx dzięki spreparowanego pliku ładunku aktywacyjnego. Udany exploit może pozwolić atakującemu na wykonanie dowolnych poleceń jako root w bazowym systemie operacyjnym hosta” – wyjaśnia Cisco.
Jest to luka dająca możliwość zdalnego wstrzykiwania poleceń w komponencie hostingu aplikacji, która umożliwia administratorom wdrażanie kontenerów aplikacji lub maszyn wirtualnych na urządzeniu. Wynika to z niewłaściwego oczyszczenia opcji identyfikatora klienta DHCP w ustawieniach interfejsu, co daje atakującemu możliwość wstrzyknięcia wybranego przez siebie polecenia systemu operacyjnego.
Drugiemu problemowi nie przypisano oznaczenia CVE – jest on na razie śledzony przy użyciu identyfikatora błędu Cisco CSCwc67015. To luka umożliwiająca zapis dowolnego pliku. Powoduje ona, iż osoba atakująca może wykonać kod na podatnych urządzeniach. Powstaje w środowisku hostingu aplikacji za pośrednictwem funkcji, która umożliwia użytkownikom przesyłanie i uruchamianie aplikacji w wirtualnych kontenerach – podczas inżynierii wstecznej tego środowiska naukowcy odkryli, iż złośliwie spakowana aplikacja może ominąć istotną kontrolę bezpieczeństwa, jednocześnie dekompresując przesłaną aplikację.
Dająca się obejść kontrola bezpieczeństwa została zaprojektowana w celu zabezpieczenia systemu przed luką CVE-2007-4559 – bardzo starą luką w module tarfile Pythona, która była wcześniej przedmiotem wielu prac zespołów Trellix (i nie została tutaj naprawiona). Zespół zbadał sprawę dokładniej i stwierdził, iż chociaż kod można było uzyskać z aplikacji, urządzenia nie dawało się skompromitować, ponieważ brakowało w nim potrzebnego modułu. Quinn i Schulz zgłosili takie same spostrzeżenia. Ostatecznie okazało się, iż można go wykorzystać w zestawie kodu, który ma zostać wdrożony przez Cisco w przyszłości. Jakie urządzenie są narażone na atak?
Potwierdzono, iż luka dotyczy także innych rozwiązań Cisco. Poniżej ich lista:
- Routery przemysłowe ISR serii 800.
- IC3000 Industrial Compute Gateway (do przetwarzania danych w czasie rzeczywistym, analiz i automatyzacji w środowiskach przemysłowych).
- Urządzenia z systemem IOS XE skonfigurowane z IOx (tj. routery zdolne do uruchamiania aplikacji innych firm w środowisku kontenerowym).
- Punkty dostępowe Cisco Catalyst (bezprzewodowy punkt dostępowy dla środowisk korporacyjnych z dużą liczbą podłączonych urządzeń).
- Routery przemysłowe IR510 WPAN.
- Moduły obliczeniowe CGR1000 (dla usług w chmurze dla przedsiębiorstw).
Na chwilę obecną nie ma dostępnych obejść. Dostarczono już poprawki/aktualizacje zabezpieczeń dla wszystkich wymienionych urządzeń z wyjątkiem dwóch ostatnich, a Cisco udostępni resztę jeszcze w tym miesiącu.
„Klienci, którzy nie chcą korzystać ze środowiska hostingu aplikacji Cisco IOx, mogą trwale wyłączyć IOx na urządzeniu dzięki polecenia no iox configuration” – zauważyła firma po potwierdzeniu, iż luka występuje tylko wtedy, gdy funkcja Cisco IOx jest włączona.
Fakt, iż CVE-2023-20076 może pozwolić atakującym na uruchamianie złośliwych poleceń, jest pewnym problemem, ale prawdopodobnie problemem większym jest to, iż omija wdrożone przez Cisco zabezpieczenia, które miały zapewnić, iż luki nie będą się utrzymywać w systemie – zauważyli naukowcy.
„W związku ze złożonością sieci korporacyjnych wiele firm zleca konfigurację i projektowanie sieci zewnętrznym instalatorom. Zły aktor może wykorzystać lukę CVE-2023-20076 do złośliwych manipulacji przy jednym z urządzeń Cisco, których dotyczy problem, w dowolnym miejscu łańcucha dostaw. Poziom dostępu zapewniany przez CVE-2023-20076 może pozwolić na instalowanie i ukrywanie tylnych drzwi, dzięki czemu manipulacja będzie całkowicie niewidoczna dla użytkownika końcowego” – wyjaśnili badacze i doradzili konsumentom urządzeń brzegowych, aby „uważnie monitorowali swój łańcuch dostaw i zapewniali, iż wszyscy zewnętrzni sprzedawcy, partnerzy lub dostawcy usług zarządzanych mają przejrzyste protokoły bezpieczeństwa”.
Routery jak serwery – niosą ogromne ryzyko
Użytkownicy powinni pamiętać, iż oba problemy wymagają od atakującego uwierzytelnienia i uzyskania uprawnień administratora. Chociaż potencjalna dotkliwość luk jest zatem nieco bardziej ograniczona, zdeterminowanym atakującym nie jest jednak trudno uzyskać poświadczenia administratora. Atakujący mogą uzyskać taki dostęp do środowiska na przykład dzięki dość podstawowego ataku phishingowego z wykorzystaniem inżynierii społecznej. Quinn i Schulz powiedzieli, iż takie błędy są często wykorzystywane przez wspierane przez państwa narodowe grupy zaawansowanych trwałych zagrożeń (APT).
W swoim artykule Quinn i Schulz opisali również, w jaki sposób luki w zabezpieczeniach nowoczesnych routerów uzyskują coraz większy wpływ. „W przeciwieństwie do tych z przeszłości, nowoczesne routery działają teraz jak serwery o dużej mocy z wieloma portami ethernetowymi, na których działa nie tylko oprogramowanie do routingu, ale w niektórych przypadkach choćby wiele kontenerów” – stwierdzili.
„Złożoność tych systemów rozszerza już dojrzałą powierzchnię ataku dla cyberprzestępców. Gdyby atakujący mógł uzyskać dostęp do jednego z tych urządzeń i uzyskać pełną kontrolę, miałby przyczółek w sieci i potężny »serwer« pod swoją kontrolą”.