Дослідник безпеки Аарон Текер насправді просто хотів створити сервер із пристрою Cisco. Він виявив уразливість у веб-інтерфейсі керування Cisco Integrated Management Controller. Потім він встановив Doom і відтворив його як демонстрацію на консолі керування.
Досліднику безпеки Аарону Текеру вдалося зламати лише Cisco C195 Email Security Appliance, але вразливість впливає на цілий ряд пристроїв Cisco. Thacker просто хотів створити сервер із пристрою та виявив уразливість під час перетворення. Потім він розпочав ланцюг нападів:
- Він змінив BIOS, щоб зробити CIMC доступним для мережі.
- Потім він атакував систему керування CIMC через мережу, щоб отримати кореневий доступ до критично важливого компонента системи через уразливість віддаленого виконання команд (CVE-2024-20356).
- Нарешті, безпечний ланцюжок завантаження може бути скомпрометований, змінивши PID пристрою, щоб дозволити використовувати інші ключі безпечного завантаження.
Використано вразливість – встановлено та відтворено Doom
🔎 Дослідник безпеки Аарон Текер зламав пристрій Cisco та встановив Doom на консолі керування як демонстрацію (Зображення: Аарон Текер, авторські права на Doom від ID Software)
Звичайно, дослідник заздалегідь повідомив про це Cisco та призначив відповідну дату публікації. Cisco використала час і забезпечила відповідні оновлення для всієї лінійки продуктів. У заяві про безпеку Cisco перераховує всі пристрої, уражені вразливістю. Він має значення CVSS 8.7 з 10 і тому вважається дуже небезпечним.
Cisco називає вразливість «Вразливість ін’єкції команд у веб-інтерфейсі керування інтегрованого контролера керування Cisco (IMC)». Уразливість у веб-інтерфейсі керування інтегрованого контролера керування Cisco (IMC) може дозволити автентифікованому віддаленому зловмиснику з адміністративними привілеями для проведення атак із впровадженням команд на уражену систему та її Збільшення прав до привілеїв root.
Ця вразливість пов’язана з недостатньою перевіркою введених користувачем даних. Зловмисник може використати цю вразливість, надсилаючи створені команди до веб-інтерфейсу керування ураженим програмним забезпеченням. Успішний експлойт може дозволити зловмиснику підвищити свої привілеї до root.
Cisco надає оновлення
Cisco надає інструкції та оновлення для уразливості з ідентифікатором CVE CVE-2024-20356 на своєму веб-сайті. Оскільки вразливість вважається дуже небезпечною, Cisco рекомендує негайне оновлення.
Більше на Cisco.com
Про Cisco Cisco є провідною світовою технологічною компанією, яка робить Інтернет можливим. Cisco відкриває нові можливості для додатків, безпеки даних, трансформації інфраструктури та розширення можливостей команд для глобального та інклюзивного майбутнього.