В роутерах Cisco серий 4000, ASR 1000 и 1000V обнаружена критическая уязвимость
(CVE-2019-12643), которую оценили на 10 из 10 возможных баллов по шкале угроз CVSS (обычно угрозы уровня Critical получают 7,5-9,1 баллов, редко — 9,8). Соответствующая информация размещена на официальном сайте производителя оборудования.
Уязвимость в контейнере виртуальных сервисов API Cisco REST для ПО Cisco IOS XE позволяет удаленному злоумышленнику обойти аутентификацию на управляемом устройстве без прохождения проверки подлинности.
Инженеры Cisco рекомендуют срочно установить патч на все роутеры под управлением IOS XE, например, с помощью специального инструмента Cisco IOS Software Checker.
Обнаруженный эксплоит позволяет удаленно совершить простой HTTP-запрос, который возвращает ID-токены авторизованных пользователей. Именно последние позволяют обойти проверку подлинности и получить полный доступ к управляемым устройствам. Уровень уязвимости в 10 из 10 возможных баллов по шкале CVSS еще говорит и о том, что эксплоит крайне прост в использовании и не требует каких-то запредельных навыков или особых условий для взлома.
Для восстановления работоспособности проблемной службы необходимо целенаправленно ее обновить. Если у вас нет возможности обновить эту службу, то альтернативным способом защиты может стать ручное отключение API REST Cisco. Важно знать, что просто обновление прошивки Cisco IOS XE не приведет к полному устранению проблемы, а лишь автоматически отключит API REST без его обновления.
Для того, чтобы определить, подвержено ли ваше оборудование Cisco данной уязвимости, перейдите в консоль устройства в качестве администратора, выполните show virtual-service и ввести привелегированную команду include Restful:
router#show virtual-service detail | include Restful
Restful API Enabled, UP port: 55443Если введенная команда не существует, возвращает пустые значения или строка Enabled UP отсутствует, то устройство уязвимости не подвержено. В противном случае вам необходимо отключить или обновить контейнер службы REST API.
Адрес исправленного контейнера REST API:
iosxe-remote-mgmt.16.09.03.ovaТакже представители компании рекомендуют обновить не только службу, но и всю прошивку Cisco IOS XE до последней версии.
