ГлавнаяБаза уязвимостей БДУ → BDU:2022-03096
6.4средняя

BDU:2022-03096

Уязвимость подсистемы управления пакетами Remote Package Manager (RPM) сетевой операционной системы Cisco IOS XR маршрутизаторов Cisco серии 8000, позволяющая нарушителю получить доступ к базе данных Redis, работающей в контейнере NOSi
Опубликовано: 2022-05-23
Описание

Уязвимость подсистемы управления пакетами Remote Package Manager (RPM) сетевой операционной системы Cisco IOS XR маршрутизаторов Cisco серии 8000 связана с раскрытием защищаемой информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к базе данных Redis, работающей в контейнере NOSi

Затрагиваемое ПО и версии
Cisco IOS XR (до 7.3.4)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

Для проверки, является ли устройство уязвимым необходимо ввести следующую команду в консоль:
run docker ps
Если выходные данные возвращают докер контейнер с именем NOSi, то устройство считается уязвимым. Пример вывода на уязвимом устройстве:
RP/0/RP0/CPU0:8000#run docker ps
Wed May 18 04:54:52.502 UTC
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
54307e434f29 nosi:latest "docker-entrypoint.s…" 9 seconds ago Up 8 seconds NOSi
RP/0/RP0/CPU0:8000#

1. Отключение проверки работоспособности
- для отключения проверки работоспособности требуется ввести следующие команды
RP/0/RP0/CPU0:8000(config)#no healthcheck enable
RP/0/RP0/CPU0:8000(config)#healthcheck use-case asic-reset disable
RP/0/RP0/CPU0:8000(config)#healthcheck use-case packet-drop disable
RP/0/RP0/CPU0:8000(config)#commit
RP/0/RP0/CPU0:8000#
- удаление RPM-проверки работоспособности
RP/0/RP0/CPU0:8000#install package remove xr-healthcheck
Wed May 18 05:00:08.060 UTCInstall remove operation 5.2.2 has started
Install operation will continue in the background
RP/0/RP0/CPU0:8000#
RP/0/RP0/CPU0:8000#install apply restart
Wed May 18 05:01:08.842 UTC
Install apply operation 5.2 has started
Install operation will continue in the background
RP/0/RP0/CPU0:8000#

2. Использование списка управления доступа к инфраструктуре (iACL) с целью ограничения отправки коммуникационных пакетов Redis через TCP-порт 6379.

Информация от разработчика:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-redis-ABJyE5xK

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-redis-ABJyE5xKhttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена