Ikona okna typu konsoli wiersza poleceń w czerni i bieli.
·

Podatność typu Command Injection w CLI oprogramowania Cisco NX-OS

Cisco NX-OS

Przełączniki Cisco Nexus to modułowe przełączniki sieciowe (switche) ze stałymi portami które mają zastosowanie głównie w centrach danych. Udostępniają funkcje, dostosowane do obciążeń wynikających z wirtualizacji i środowisk chmurowych.

Cisco NX-OS to sieciowy system operacyjny działający na przełącznikach Ethernet serii Nexus oraz serii MDS – ewoluował z wcześniejszego systemu Cisco SAN-OS, który był oryginalnie opracowany dla przełączników MDS. Rdzeń NX-OS jest oparty na wersji 4.19 64-bitowego jądra Linux, co przekłada się na zdrową równowagę systemu operacyjnego w obrębie funkcji, dojrzałości i stabilności. Ponadto zapewnia własny zestaw poleceń, wykorzystując do tego interfejs CLI NX-OS.
 

Wykrycie podatności

Podatność CVE-2024-20399 została zidentyfikowana przez Sygnia, czyli firmę zajmującą się cyberbezpieczeństwem. Lukę wykryto podczas dochodzenia w sprawie chińskiej grupy cyberszpiegowskiej znanej jako „Velvet Ant”, która użyła go jako „zero-day” – z powodzeniem wykonywała polecenia w systemie operacyjnym urządzeń Cisco Nexus. Sygnia, zgłaszając tę nieprawidłowość do Cisco, dostarczyła szczegółowych informacji na temat podatności oraz późniejszego przebiegu ataku. 

Wykorzystanie luki w interfejsie CLI oprogramowania Cisco NX-OS może pozwolić uwierzytelnionemu atakującemu na ucieczkę z NX-OS CLI oraz wykonanie dowolnych poleceń z uprawnieniami roota w bazowym systemie operacyjnym urządzenia. Sama nieprawidłowość wynika z niewystarczającej walidacji argumentów przekazywanych do określonych poleceń konfiguracyjnych CLI. Atakujący, o ile posiada poświadczenie administratora, może wykorzystać tę podatność, dołączając spreparowane dane wejściowe jako argument dotkniętego polecenia konfiguracyjnego CLI.  

Użytkownik z uprawnieniami administratora jest w stanie wykonać dowolne polecenia w bazowym systemie operacyjnym, używając tej luki. Metoda ta zapobiega wyzwalaniu systemowych komunikatów syslog, które wskazują, że użytkownik wykonał polecenie run bash. To sprawia, że atakujący może ukryć wykonywanie poleceń powłoki na urządzeniu. 

Aktualizacje

Firma Cisco wydała aktualizacje oprogramowania dla niektórych platform sprzętowych Cisco NX-OS, jednocześnie zapowiadając kontynuację publikacji. Podzieliła się również zakresem urządzeń, które były podatne na zidentyfikowaną lukę, oraz ich wersjami oprogramowania. Aby pomóc klientom w określeniu ich narażenia na nieprawidłowości w oprogramowaniu Cisco NX-OS, firma udostępnia narzędzie Cisco Software Checker. 

Podobne wpisy