Cisco publikon korrigjime sigurie për produktet e veta
Cisco, dje me datë 25.02.2021, në një publikim zyrtarë ka bërë të ditur se ka adresuar një mori pikash të dobëta në orkestruesin e faqeve të shumëfishta (MSO[i]) në Infrastrukturën e saj qendrore të aplikacionit (ACI[ii]) që do t’i mundësonte një sulmuesi anashkalimin e autentikimit në pajisjet e tyre.
Një sulmues do të mund të shfrytëzojë këtë lëshim duke dërguar një kërkesë mashtruese në API[iii]-t e prekura. Në rast se do të kishte sukses të infektoj një pajisje, sulmuesi do të mund të pranonte një token me privilegje të administratorit që do t’i mundësonte atij autentikimin në API të MSO-ve të infektuara. Në këtë mënyrë një sulmues do të mund të merrte nën kontroll pajisjet APIC[iv] të Cisco-s, shkruan në njoftimin e kompanisë.
Lëshimi, i shënuar si CVE-2021-1388, renditet në vendin e 10-t (nga 10) në sistemin e vlerësimit të cenueshmërisë CVSS dhe buron nga një validim i parregullt në një MSO (version 3.0) të një API të Cisco-s që ka të instaluar motorin e shërbimeve të aplikacionit[v].
MSO e ACI-s u mundëson klientëve të monitorojnë dhe të menaxhojnë politikat e rrjetës për qasje në aplikacione në të gjitha pajisjet e Cisco-s të bazuara në APIC.
Përveç kësaj, kompania ka arnuar edhe disa lëshime të tjera në ASE (CVE-2021-1393 dhe CVE-2021-1396, vlerësimi CVSS 9.8) që do t’i mundësonte një sulmuesi, që nga larg të ketë qasje në një shërbim apo në API-t specifike, duke rezultuar në mundësinë e ekzekutimit të kontejnerëve apo thirrjen e operacioneve në nivel të hostit, dhe për të mësuar informacione për pajisjet specifike, për të krijuar skedarë për mbështetje teknike në një ambient të izoluar, dhe për të bërë disa ndryshime të kufizuara në konfigurim.
Të dy këto lëshime ishin si rezultat i kontrollit të pamjaftueshëm të qasjes së një API.
Përgjegjësi i rrjetave në Cisco thotë që të tre dobësitë e lartcekura ishin zbuluar gjatë një testimi të brendshëm të sigurisë, por shton se nuk kishin hetuar të kishte ndonjë përpjekje të shfrytëzimit të tyre në rrjetat e tyre, të cilat përdorën kudo në botë.
Gjatë implementimit të një shërbimi për menaxhimin e skedarëve të brendshëm për serinë e pajisjeve Nexus 3000 të cilat kanë sistemin operativ NX-OS, Cisco ka rregulluar një gabim (CVE-2021-1361, me vlerësim 9.8). Ky gabim do të mundësonte sulmueseve të krijojnë, fshijnë, ose të mbishkruajnë skedarë arbitrar me privilegje administrative (root) në një pajisje, paralajmëroi kompania, përfshirë edhe mundësimin e sulmuesit të shtojnë shfrytëzues të rinj pa njohurinë e administratorit të rrjetit.
Cisco thotë që “switch”-at Nexus 3000 dhe Nexus 9000 që punojnë me sistemin operativ Cisco NX-OS, me versionet 9.3(5) dhe 9.3(6) janë të rrezikuara sipas parazgjedhjes.
“Kjo dobësi ekziston pasi porti TCP 9075, gabimisht është konfiguruar të dëgjoj dhe t’u përgjigjet kërkesave nga jashtë”, theksoj Cisco në paralajmërim. “Një sulmues do të mund të shfrytëzojë këtë dobësi, duke dërguar paketa të hartuara TCP në një adresë IP, e cila është e konfiguruar në një ndërfaqe lokale në portin TCP 9075.”
Këto rregullime erdhën pak javë pasi Cisco kishte publikuar disa rregullime të tjera për më shumë se 40 lëshime të sigurisë në ruterë që mund të preknin bizneset e vogla, që potencialisht mundësonin një sulmues të pa-autentikuar të ekzekutoj kod arbitrar nga larg nën privilegje të administratorit, madje kishte mundësi të shkaktonte ndërprerje të shërbimeve.
[i] Multi-Site Orchestrator (MSO) – është përgjegjës për sigurimin, monitorimin e gjendjes, dhe për menaxhimin e tërë ciklit të jetës, të politikave të rrjetit ACI të Cisco-s.
[ii] Application Centric Infrastructure (ACI) – është një zgjidhje (arkitekturë) e bazuar në politikë, e cila integron softuerin dhe harduerin (e familjes së switch-ave Nexus 9000), gjegjësisht qëllimi është të integrohen sistemet në ‘Cloud’ dhe qendrat e të dhënave si një alternativë e SDN.
[iii] Application Programming Interface (API) – është ndërfaqe që lidhë softuerin me harduerin. Kjo nënkupton një mori veglash, rregulla apo protokolle që shërbejnë për ndërtimin e një aplikacioni.
[iv] Application Policy Infrastructure Controller (APIC) – është komponenti kryesor në arkitekturën ACI të Cisco-s, e cila automatizon dhe menaxhon strukturën e unifikuar të ACI-s, zbaton politikat, dhe monitoron mbarëvajtjen e rrjetit.
[v] Application Services Engine (ASE) – siguron një platformë të përbashkët për të vendosur aplikacionet e qendrës së të dhënave të Cisco-s. Këto aplikacione sigurojnë shikueshmëri, analiza, dhe siguri në kohë reale për infrastrukturën dhe për politikat e aplikuara.