Компания Cisco выпустила обновления безопасности для устранения серьезной уязвимости высокой степени в Cisco Umbrella Virtual Appliance (VA), позволяющей неавторизованным злоумышленникам удаленно похищать учетные данные администратора.
Фрейзер Хесс (Fraser Hess) из Pinnacol Assurance обнаружил дефект (отслеживаемый как CVE-2022-20773) в механизме SSH-аутентификации на основе ключей в Cisco Umbrella VA.
Cisco Umbrella, облачная служба безопасности, используемая более чем 24 000 организаций в качестве DNS-уровня защиты от фишинга, вредоносных программ и атак вымогателей, использует эти локальные виртуальные машины в качестве условных DNS-переадресаторов, которые записывают, шифруют и аутентифицируют DNS-данные.
"Эта уязвимость связана с наличием статического ключа хоста SSH. Злоумышленник может воспользоваться этой уязвимостью, выполнив атаку "человек посередине" на SSH-соединение с Umbrella VA", - пояснили в Cisco.
"Успешная эксплуатация может позволить злоумышленнику узнать учетные данные администратора, изменить конфигурацию или перезагрузить VA".
Уязвимость затрагивает Cisco Umbrella VA для Hyper-V и VMWare ESXi с версиями программного обеспечения ранее 3.3.2.
Отсутствие влияния на стандартные конфигурации Umbrella VA
К счастью, Cisco утверждает, что служба SSH не включена по умолчанию на локальных виртуальных машинах Umbrella, что значительно снижает общее воздействие уязвимости.
Чтобы проверить, включен ли SSH на ваших виртуальных устройствах Cisco Umbrella, необходимо войти в консоль гипервизора, войти в режим конфигурации, нажав CTRL+B, и проверить конфигурацию виртуального устройства, выполнив команду:
config va show
Вывод команды должен включать строку "SSH access : enabled" в конце на системах, где SSH включен.
Для данного недостатка безопасности не существует обходных путей или смягчения последствий. Поэтому Cisco рекомендует заказчикам перейти на исправленный выпуск программного обеспечения.
Команда Cisco Product Security Incident Response Team (PSIRT) также сообщила, что в Интернете не существует публичного кода эксплойта для этой уязвимости, и добавила, что ей ничего не известно о какой-либо текущей эксплуатации в "дикой природе".
В ноябре Cisco также исправила аналогичную ошибку критической серьезности (CVE-2021-40119), вызванную использованием SSH-ключей по умолчанию в механизме SSH-аутентификации на основе ключей в Cisco Policy Suite, которая могла позволить неаутентифицированным и удаленным злоумышленникам войти в затронутые системы как пользователь root.
В тот же день компания устранила второй критический недостаток (CVE-2021-34795), связанный с жестко закодированными учетными данными в службе Telnet коммутаторов Cisco Catalyst PON серии ONT, который позволяет неаутентифицированным злоумышленникам удаленно войти в систему, используя учетную запись отладки с паролем по умолчанию.