سیسکو یه هشداری در خصوص آسیب پذیری CVE-2023-20076 در محیطهای میزبانی برنامه های Cisco IOx ، صادر کرده.
آسیب پذیری از نوع Command Injection و دارای شدت بالا و امتیاز 7.2 هستش. مهاجم احراز هویت شده امکان اجرای دستورات با امتیاز ROOT در سیستم عامل میزبان اصلی داره.
آسیب پذیری در بخش تنظیمان و در گزینه DHCP Client ID هستش. مهاجم میتونه با قرار دادن یک فایل مخرب IOx در محیط میزبانی برنامه Cisco IOx از این آسیب پذیری سوء استفاده کنه.
نسخه های آسیب پذیر و اصلاح شده:
آسیب پذیری روی دستگاههای سیسکو که از برنامه Cisco IOS XE با فعال بودن ویژگی Cisco IOx و از داکر داخلی (native) پشتیبانی نمیکنن ، تاثیر میزاره. جدول زیر محصولات آسیب پذیر و اصلاح شده رو مشخص کرده (البته شرایط بالا رو باید داشته باشن):
| Cisco Platform | First Fixed Release |
|---|---|
| 800 Series Industrial ISRs | 15.9(3)M7 |
| CGR1000 Compute Modules | 1.16.0.1 |
| IC3000 Industrial Compute Gateways | 1.4.2 |
| IOS XE-based devices configured with IOx | 17.6.5 17.9.2 17.10.1 For more information, see the Cisco IOS and IOS XE Software Checker in the next section. |
| IR510 WPAN Industrial Routers | 1.10.0.1 |
تعیین وضعیت Cisco IOS XE Software Native Docker :
برای این منظور از دستور show iox استفاده کنید. اگر جواب Dockerd بود که یعنی اوکیه و تحت تاثیر این آسیب پذیری نیست. در غیر این صورت آسیب پذیر هستش. یه نمونه از نسخه آسیب پذیر هستش :
|
1 2 3 4 5 6 7 8 9 10 11 12 |
Switch#show iox IOx Infrastructure Summary: --------------------------- IOx service (CAF) : Running IOx service (HA) : Running IOx service (IOxman) : Running IOx service (Sec storage) : Running Libvirtd 5.5.0 : Running Dockerd v19.03.13-ce : Running Sync Status : Disabled Switch# |
در نهایت سیسکو گفته که حمله ای که از این آسیب پذیری استفاده شده رو مشاهده نکرده.
آسیب پذیری توسط محققین trellix کشف شده . این محققا گفتن که بسته مخرب تا زمانی که بصورت دستی پاک نشه یا دستگاه به تنظیمات کارخانه برنگرده میتونه مورد سوء استفاده قرار بگیره. یه نکته دیگه این که اغلب دستگاههای سیسکو از طریق خود شرکت خریداری نمیشن. در نتیجه این وسط واسطهایی وجود دارن که امکان آلوده سازی دستگاه رو میتونن فراهم کرده باشن و به اصلاح حملات زنجیره تامین رو ، روی سازمان انجام بدن. ماهیت آسیب پذیری هم بعد از استقرار نیاز به ریستارت یا استارت داره که در حملات به مهاجمین امکان پرسیست رو فراهم میکنه.
برای سوء استفاده از این آسیب پذیری یه ویدیو هم ارائه دادن. (iox-x86-hello-world)
مشاهده یوتیوب
