Злоумышленник может проэксплуатировать уязвимость, подключившись к установке Redis на открытом порту.
https://www.securitylab.ru/upload/ib...ec2ae3f409.jpg
Компания Cisco исправила уязвимость нулевого дня в своих маршрутизаторах с ОС IOS XR, позволяющую неавторизованным злоумышленникам удаленно получать доступ к установкам Redis, запущенным в контейнерах NOSi Docker.
Под управлением операционной системы IOS XR работает множество маршрутизаторов Cisco, включая устройства серий NCS 540 и 560, NCS 5500, 8000 и ASR 9000.
Уязвимость CVE-2022-20821 существует из-за того, что во время активации проверка RPM по умолчанию открывает TCP-порт 6379. Злоумышленник может проэксплуатировать ее путем подключения к установке Redis на открытом порту, что позволит ему записывать данные в память, записывать произвольные файлы в файловую систему контейнера и извлекать информацию о базе данных Redis.
К счастью, даже если злоумышленник успешно проэксплуатирует уязвимость, он все равно не сможет удаленно выполнить код или скомпрометировать целостность системы хоста, так как установки Redis запускаются в песочнице.
Хотя проблема затрагивает только маршрутизаторы серии Cisco 8000 с установленной и включенной проверкой RPM, производитель призывает пользователей установить исправления или принять меры безопасности на установках с уязвимым ПО.
Ранее в этом месяце Cisco стало известно об эксплуатации данной уязвимости в реальных хакерских атаках.
Если незамедлительная установка патчей невозможна, администраторам рекомендуется отключить проверку RPM на уязвимых устройствах. Для того чтобы определить, является устройство уязвимым или нет, нужно запустить команду docker ps и проверить контейнер NOSi.
Администраторы также могут воспользоваться Infrastructure Access Control List (iACLs) для блокировки порта 6379, которым могут воспользоваться хакеры для доступа к установкам Redis.