Cisco IOS XR Yazılım Hatası, Uzak Saldırganın Redis Örneğine Erişmesine İzin Verdi
IOS XR Software, Cisco'nun geçenlerde bir düzeltme yayınladığı sıfır gün güvenlik açığına maruz kaldı ve güvenlik açığı, tehdit aktörleri tarafından vahşi doğada kullanıldı.
NCS 540 ve 560, NCS 5500, 8000 ve ASR 9000 serisi yönlendiricilere ek olarak, IOS XR Ağ İşletim Sistemi birden fazla Cisco yönlendirici platformu için kullanılabilir.
Bu hata zaten CVE-2022-20821 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20821) olarak izlenmiştir. Cisco TAC tarafından gündeme getirilen bir destek vakası çözülürken keşfedildi.
Cisco'nun belirttiği şey:
"Bu güvenlik açığı, sistem durumu denetimi RPM'sinin etkinleştirme sırasında varsayılan olarak 6379 numaralı TCP bağlantı noktasını açması nedeniyle ortaya çıkar. Saldırgan, açık bağlantı noktasındaki Redis örneğine bağlanarak bu güvenlik açığından yararlanabilir. Bu açıktan başarılı bir şekilde yararlanılması, saldırganın bellek içi Redis veritabanına yazmasına, kapsayıcı dosya sistemine rasgele dosyalar yazmasına ve Redis veritabanı hakkında bilgi almasına olanak verebilir."
Kusur Profili
- CVE KIMLIĞI: CEVE-2022-20821
- Açıklama: Cisco IOS XR Yazılım Durum Denetimi Açık Bağlantı Noktası Güvenlik Açığı
- CVSS Puanı: Temel 6,5
- Özet: Kimliği doğrulanmamış, uzak bir saldırgan, Cisco IOS XR Software'in sistem durumu denetimi RPM'sindeki bir güvenlik açığından yararlanarak NOSi kapsayıcısında çalışan Redis örneğine erişim sağlayabilir.
- İlk Yayınlanma Tarihi: 2022 May 20 16:00 GMT
- Önem Derecesi: Orta
Çözümler
Cisco'daki siber güvenlik analistleri, bu güvenlik açığını azaltmak için aşağıdaki çözümleri sağlamıştır:
- Çözüm 1: Bu seçenek, en çok avantaja sahip olduğu için en çok tercih edilen yöntemlerden biridir. Bu, sistem durumu denetimini devre dışı bırakarak ve tüm kullanım örneklerini açıkça kaldırarak elde edilir.
- Çözüm 2: Bağlantı noktası 6379, bir Altyapı Erişim Denetim Listesi (iACL) ile engellenmelidir.
Aşağıdaki iki Cisco hatası daha önce düzeltilmiş olanlardır ve burada aşağıda listelenmiştir:
- Kimliği doğrulanmamış saldırganlar, NFVIS hataları nedeniyle kök ayrıcalıklarıyla uzaktan rasgele komutlar çalıştırabilir.
- Kimliği doğrulanmamış uzak saldırganlar, Cisco Umbrella hatasının bir sonucu olarak Cisco Umbrella Virtual Appliance'tan (VA) yönetici kimlik bilgilerini çalabilir.
Hiç şüphe yok ki tehdit aktörleri sıklıkla Cisco cihazlarındaki güvenlik açıklarını hedef alır, bu nedenle kullanıcıların mümkün olan en kısa sürede yamalar veya geçici çözümler uyguladığından emin olmak bir öncelik olmalıdır.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News