ช่องโหว่ CVE-2022-20821 ถูกค้นพบระหว่างการแก้ปัญหาของทีม Cisco TAC
Cisco ได้มีการแก้ไขช่องโหว่ Zero-day ในซอฟต์แวร์ของเราเตอร์ IOS XR ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงจากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์บน Redis instance ที่ทำงานอยู่ในคอนเทนเนอร์ NOSi Docker ซึ่ง IOS XR Network OS ถูกปรับใช้บนแพลตฟอร์มเราเตอร์ของ Cisco หลายตัว รวมถึงเราเตอร์ NCS 540 & 560, NCS 5500, 8000 และ ASR 9000
ช่องโหว่ CVE-2022-20821 ถูกค้นพบระหว่างการแก้ปัญหาของทีมสนับสนุนของ Cisco TAC (Technical Assistance Center) ที่พบว่าการตรวจสอบสภาพ RPM ได้ทำการเปิดพอร์ต TCP 6379 และกำหนดให้เป็นค่าเริ่มต้นเมื่อเปิดใช้งาน ซึ่งจะทำให้ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยเชื่อมต่อกับ Redis บนพอร์ตที่เปิดอยู่ ถ้าทำการเจาะระบบประสบความสำเร็จอาจทำให้ผู้ไม่ประสงค์ดีสามารถเขียนไปยังฐานข้อมูลในหน่วยความจำ Redis และเขียนไฟล์โดยอำเภอใจไปยังระบบไฟล์คอนเทนเนอร์ และดึงข้อมูลเกี่ยวกับฐานข้อมูล Redis instance ได้
ปัจจุบันทาง Cisco ได้ทำการแก้ไขจุดบกพร่อง NFVIS ที่อนุญาตให้ผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์เรียกใช้คำสั่งด้วยสิทธิ์ของ Root จากระยะไกล และช่องโหว่ที่ Cisco Umbrella Virtual Appliance (VA) อนุญาตให้ผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์จากระยะไกลขโมยข้อมูลประจำตัวของผู้ดูแลระบบ ซึ่งช่องโหว่ทั้งสองทาง Cisco ได้ทำการแก้ไขจุดบกพร่องเรียบร้อยแล้ว
คำแนะนำ
- สามารถนำ security updates ไปใช้ในทันทีเพื่อบรรเทาช่องโหว่
- ปิดใช้งานการตรวจสอบสภาพ และลบ RPM การตรวจสอบสภาพออกจากอุปกรณ์ที่มีช่องโหว่
- ตรวจสอบอุปกรณ์ได้รับผลกระทบหรือไม่ โดยใช้คำสั่ง run docker ps และค้นหาคอนเทนเนอร์ docker
ชื่อ NOSi
Ref: https://www.bleepingcomputer.com/news/security/cisco-urges-admins-to-patch-ios-xr-zero-day-exploited-in-attacks/