Η Cisco προειδοποιεί: Αυτά τα Nexus switches έχουν πληγεί από σοβαρό ελάττωμα ασφαλείας

[Δορυφορικα]

Η Cisco προειδοποίησε τους πελάτες με Nexus switches που τρέχουν το λογισμικό NX-OS να εγκαταστήσουν ενημερώσεις για την αντιμετώπιση ενός σοβαρού ελαττώματος που επιτρέπει σε έναν απομακρυσμένο εισβολέα να παρακάμψει τα στοιχεία ελέγχου πρόσβασης στο δίκτυο και να δρομολογήσει κακόβουλη κίνηση στο Internet σε εσωτερικά δίκτυα.

Αυτό το σφάλμα, που ονομάζεται ως CVE-2020-10136, μπορεί να χρησιμοποιηθεί για να προκαλέσει denial of service σε επηρεαζόμενα Nexus switches ή για να δρομολογήσετε την κίνηση από το μηχάνημα του εισβολέα στο εσωτερικό δίκτυο ενός στόχου μετά την παράκαμψη των Access Control Lists (ACLs) για φιλτράρισμα εισερχόμενης κίνησης στο Διαδίκτυο.

Αρκετά από τους ευρέως χρησιμοποιούμενα Nexus switches της Cisco φέρουν ένα ελάττωμα που προκαλεί στη συσκευή να αποσυμπιέζεται απροσδόκητα και να επεξεργάζεται τις IP σε πακέτα IP που προορίζονται για μια τοπικά διαμορφωμένη διεύθυνση IP, ακόμη και όταν δεν υπάρχει tunnel configuration”.

Η προδιαγραφή IETF RFC 2003 για το πρωτόκολλο tunelling IP-in-IP επιτρέπει στα πακέτα IP να  ενθυλακώνονται σε άλλα πακέτα IP, με την κίνηση να παραμένει μη κρυπτογραφημένη ανά πάσα στιγμή.

Ο Vijay Sarvepalli του Κέντρου Συντονισμού CERT των ΗΠΑ (CERT / CC) εξηγεί ότι το πρωτόκολλο ξετυλίγει το εσωτερικό πακέτο IP και το προωθεί μέσω IP routing tables, αλλά μια συσκευή καθίσταται ευάλωτη εάν δέχεται αυτά τα πακέτα από οπουδήποτε χωρίς περιορισμούς.

“Μια συσκευή IP-in-IP θεωρείται ότι είναι ευάλωτη εάν δέχεται πακέτα IP-in-IP από οποιαδήποτε πηγή σε οποιονδήποτε προορισμό χωρίς ρητή διαμόρφωση μεταξύ της καθορισμένης διεύθυνσης IP προέλευσης και προορισμού”, γράφει ο Sarvepalli.

Και αυτό είναι το πρόβλημα που επηρεάζει πολλές συσκευές Cisco Nexus NX-OS που υποστηρίζουν ενθυλάκωση πακέτων IP-in-IP: δεν προορίζονται για αποσυμπίεση και επεξεργασία οποιασδήποτε IP στην κίνηση IP στο tunnel interface μιας συσκευής, εκτός εάν έχει διαμορφωθεί χειροκίνητα με ACL.

“Μια επιτυχημένη εκμετάλλευση θα μπορούσε να προκαλέσει απροσδόκητη αποσυναρμολόγηση της συσκευής IP στο πακέτο IP και προώθηση του εσωτερικού πακέτου IP. Αυτό μπορεί να έχει ως αποτέλεσμα τα πακέτα IP να παρακάμπτουν τις λίστες ελέγχου πρόσβασης εισόδου (ACL) που έχουν διαμορφωθεί στη συσκευή που επηρεάζεται ή σε άλλα όρια ασφαλείας που ορίζονται αλλού στο δίκτυο,” σημειώνει η Cisco.

“Αυτό μπορεί να έχει ως αποτέλεσμα το πακέτο passenger IP να παρακάμψει το επιδιωκόμενο φιλτράρισμα ACL. Αυτό μπορεί επίσης να επιτρέψει στο πακέτο passenger IP να παρακάμψει άλλα όρια ασφαλείας που θα μπορούσαν να καθοριστούν στη διαδρομή δικτύου προς την επηρεαζόμενη συσκευή παρουσία τεχνικών φιλτραρίσματος δικτύου που επιθεωρούν μόνο την εξωτερική κεφαλίδα IP και όχι το εσωτερικό πακέτο IP. “

Πέρα από αυτό, ένας εισβολέας που εκμεταλλεύεται επανειλημμένα το σφάλμα μπορεί να προκαλέσει τη διακοπή της στοίβας δικτύου της συσκευής, με αποτέλεσμα την denial of service στο επηρεαζόμενο switch.

Η Cisco έδωσε στο σφάλμα έναν βαθμό σοβαρότητας 8,6/10.

Το CERT / CC αναφέρει ότι το σφάλμα θα μπορούσε να οδηγήσει σε μια αντανακλαστική επίθεση denial of service, διαρροή πληροφοριών και παράκαμψη ελέγχου δικτύου.

Για όσους δεν μπορούν να εγκαταστήσουν αμέσως ενημερώσεις, ο Sarvepalli της CERT / CC λέει ότι οι επηρεαζόμενοι πελάτες μπορούν να αποτρέψουν πακέτα IP-in-IP φιλτράροντας πακέτα πρωτοκόλλου IP 4 στο ανάντη router ή σε άλλη συσκευή. Ο Sarvepalli τονίζει ότι αυτό το φιλτράρισμα είναι για τιμή κεφαλίδας πρωτοκόλλου IP 4, σε αντίθεση με το IPv4.

Η Cisco προτείνει επίσης αυτό το μέτρο, αλλά πρώτα συμβουλεύει τους πελάτες να χρησιμοποιούν “λίστες ελέγχου πρόσβασης στην υποδομή (iACL) για να επιτρέπουν μόνο αυστηρά απαιτούμενη διαχείριση και έλεγχο της κυκλοφορίας αεροπλάνων που προορίζεται για την επηρεαζόμενη συσκευή”.

Ο Yannay Livneh, ο ερευνητής ασφαλείας που ανέφερε το σφάλμα στην Cisco, δημοσίευσε τον κώδικα proof of concept στο GitHub για να τον χρησιμοποιήσουν οι διαχειριστές για να ελέγξουν εάν έχουν ευάλωτες συσκευές Nexus στο δίκτυο. Ο κώδικας επιτρέπει στους διαχειριστές να επαληθεύουν εάν η συσκευή υποστηρίζει ενθυλάκωση IP-in-IP από αυθαίρετες πηγές σε αυθαίρετους προορισμούς.

Ωστόσο, η Cisco σημειώνει ότι δεν έχει παρατηρήσει κακόβουλη δραστηριότητα που εκμεταλλεύεται αυτό το ελάττωμα.

Τα επηρεασμένα Nexus switches είναι τα παρακάτω:

• Nexus 1000 Virtual Edge για VMware vSphere
• Nexus 1000V Switch για Microsoft Hyper-V
• Nexus 1000V Switch για VMware vSphere
• Nexus 3000 Series Switches
• Nexus 5500 Platform Switches
• Nexus 5600 Platform Switches
• Nexus 6000 Series Switches
• Nexus 7000 Series Switches
• Nexus 9000 Series Switches σε NX-OS mode
• UCS 6200 Series Fabric Interconnects
• UCS 6300 Series Fabric Interconnects

Let's block ads! (Why?)

Πηγή Είδησης