CISCO IMC z krytyczną luką umożliwiającą eskalację uprawnień do root

Na początku kwietnia pisaliśmy o lukach typu zero-day w zabezpieczeniach oprogramowania Cisco IOS i IOS XE. Tym razem wykryto podatność o wysokim poziomie w kontrolerze zintegrowanego zarządzania (IMC). Został również opublikowany kod exploita, który umożliwia lokalnym atakującym zwiększenie uprawnień do poziomu root.

Co to jest Cisco IMC?

Cisco IMC to kontroler zarządzania płytą główną, który zapewnia wbudowane zarządzanie serwerami UCS C-Series Rack i UCS S-Series Storage za pośrednictwem wielu interfejsów, w tym XML API, interfejsów internetowych (WebUI) i wiersza poleceń (CLI).

„Luka w interfejsie CLI kontrolera Cisco Integrated Management Controller (IMC) może pozwolić uwierzytelnionemu lokalnemu atakującemu na wykonanie ataków polegających na wstrzykiwaniu poleceń na podstawowy system operacyjny i podniesienie uprawnień do uprawnień roota” – wyjaśnia firma.

Luka wynika z niewystarczającej weryfikacji danych wejściowych wprowadzanych przez użytkownika w interfejsie IMC CLI i nie ma dostępnych obejść, ale wydano aktualizacje oprogramowania rozwiązujące ten krytyczny problem.

Jakie urządzenia narażone są na atak?

Narażone są kontrolery bezprzewodowe, serwery APIC, urządzenia Business Edition, urządzenia Catalyst Center i inne.

Luki, które dotknęły produkty Cisco, obejmują serwery ENCS serii 5000, Catalyst 8300 Series Edge uCPE, serwery UCS C-Series i E-Series oraz różne urządzenia Cisco oparte na wstępnie skonfigurowanych serwerach UCS C-SeriesHH.

Serwery kasetowe UCS z serii B, serwery stelażowe UCS z serii C zarządzane przez Cisco UCS Manager, serwery pamięci masowej UCS z serii S i systemy modułowe UCS z serii X nie obsługują Cisco IMC, co zmniejsza potencjalną powierzchnię ataku na tych platformach. Cisco nie zidentyfikowało żadnych luk w zabezpieczeniach tych produktów.

Łatki od CISCO

Cisco udostępniło aktualizacje oprogramowania naprawiające niedawno odkrytą lukę. Są one dostępne bezpłatnie dla klientów posiadających umowy serwisowe obejmujące aktualizacje oprogramowania.

Użytkownicy powinni jak najszybciej zaktualizować swoje oprogramowanie, jeśli posiadają podatny produkt Cisco. Muszą przy tym pamiętać, że mogą instalować łatki i oczekiwać pomocy technicznej dotyczącej wyłącznie wersji oprogramowania, na które mają licencję.

Aby zaktualizować oprogramowanie Cisco, użytkownicy muszą posiadać ważną licencję uzyskaną bezpośrednio od Cisco lub partnera, ponieważ aktualizacje są zazwyczaj aktualizacjami konserwacyjnymi istniejącego oprogramowania, a bezpłatne aktualizacje zabezpieczeń nie zapewniają nowych licencji ani większych aktualizacji.

Przed aktualizacją użytkownicy powinni zapoznać się z poradnikiem bezpieczeństwa Cisco pod kątem znanych problemów i rozwiązań oraz upewnić się, że ich urządzenia mają wystarczającą ilość pamięci i wykazują zgodność z nowym oprogramowaniem. Poradnik zawiera tabelę z listą wersji oprogramowania, których dotyczy problem, i odpowiadających im poprawionych wersji.

Klienci, którzy nie są objęci umową serwisową Cisco lub nie mogą uzyskać poprawki u swojego dostawcy, powinni skontaktować się z Cisco TAC w celu uzyskania bezpłatnej aktualizacji. W przypadku Cisco 5000 Series ENCS i Catalyst 8300 Series Edge uCPE aktualizacja Cisco IMC wymaga najpierw aktualizacji oprogramowania Cisco NFVIS, a IMC zostanie zaktualizowany automatycznie podczas procesu aktualizacji oprogramowania sprzętowego NFVIS.

Szczegóły dotyczące luki w oprogramowaniu Cisco IMC i jej poprawek dla serwerów Cisco UCS C-Series i E-Series są podzielone na kategorie według wersji M-Series (M4, M5, M6, M7) i E-Series (M2, M3, M6).

Zaleca się aktualizację Cisco IMC do określonych stałych wersji w zależności od modelu serwera. Istnieją wyjątki, w których dla pewnych urządzeń Cisco wymagane są określone pakiety aktualizacji oprogramowania sprzętowego lub poprawki.