BDU:2022-03096: Уязвимость подсистемы управления пакетами Remote Package Manager (RPM) сетевой операционной системы Cisco IOS XR маршрутизаторов Cisco серии 8000, позволяющая нарушителю получить доступ к базе данных Redis, работающей в контейнере NOSi

Описание уязвимости Уязвимость подсистемы управления пакетами Remote Package Manager (RPM) сетевой операционной системы Cisco IOS XR маршрутизаторов Cisco серии 8000 связана с раскрытием защищаемой информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к базе данных Redis, работающей в контейнере NOSi
Вендор Cisco Systems Inc.
Наименование ПО Cisco IOS XR
Версия ПО
  • до 7.3.4
Тип ПО Операционная система
Операционные системы и аппаратные платформы
  • Cisco Systems Inc. Cisco IOS XR до 7.3.4 8000 Series Routers
Тип ошибки Раскрытие информации
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 20.05.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

Для проверки, является ли устройство уязвимым необходимо ввести следующую команду в консоль:
run docker ps
Если выходные данные возвращают докер контейнер с именем NOSi, то устройство считается уязвимым. Пример вывода на уязвимом устройстве:
RP/0/RP0/CPU0:8000#run docker ps
Wed May 18 04:54:52.502 UTC
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
54307e434f29 nosi:latest "docker-entrypoint.s…" 9 seconds ago Up 8 seconds NOSi
RP/0/RP0/CPU0:8000#

1. Отключение проверки работоспособности
- для отключения проверки работоспособности требуется ввести следующие команды
RP/0/RP0/CPU0:8000(config)#no healthcheck enable
RP/0/RP0/CPU0:8000(config)#healthcheck use-case asic-reset disable
RP/0/RP0/CPU0:8000(config)#healthcheck use-case packet-drop disable
RP/0/RP0/CPU0:8000(config)#commit
RP/0/RP0/CPU0:8000#
- удаление RPM-проверки работоспособности
RP/0/RP0/CPU0:8000#install package remove xr-healthcheck
Wed May 18 05:00:08.060 UTCInstall remove operation 5.2.2 has started
Install operation will continue in the background
RP/0/RP0/CPU0:8000#
RP/0/RP0/CPU0:8000#install apply restart
Wed May 18 05:01:08.842 UTC
Install apply operation 5.2 has started
Install operation will continue in the background
RP/0/RP0/CPU0:8000#

2. Использование списка управления доступа к инфраструктуре (iACL) с целью ограничения отправки коммуникационных пакетов Redis через TCP-порт 6379.

Информация от разработчика:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-redis-ABJyE5xK
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
  • CVE: CVE-2022-20821
Прочая информация Данные уточняются
Последние изменения