Af Eskil Sørensen, 24/05/22
Cisco har advaret sine kunder om, at der er forsøg på udnyttelse af en ny sårbarhed, der påvirker deres IOS XR-software. Det skriver Security Week.
Fejlen med id’et CVE-2022-20821, der blev opdaget af Cisco ifm. med en supportsag, har en CVSS-score på 6,5. Dvs. at den er karakteriseret som ’medium alvorlig’, men uanset score kan den være alvorlig nok, hvis en angriber får held til at udnytte den. I dette tilfælde vil en angriber kunne få adgang til en Redis-instans, der kører i en container med navnet "NOSi." Problemet påvirker sundhedstjekket RPM i IOS XR-software og er relateret til TCP-porten 6379, som RPM åbner som standard ved aktivering.
Cisco skriver i sin advisory, at en angriber vil kunne udnytte denne sårbarhed ved at oprette forbindelse til Redis-instansen på den åbne port. En vellykket udnyttelse kan give angriberen mulighed for at skrive til Redis-databasen i hukommelsen, skrive vilkårlige filer til containerfilsystemet og hente information om Redis-databasen.
Sårbarheden ser ud til kun at påvirke Cisco 8000-seriens routere, der kører IOS XR 7.3.3 med sundhedstjekket RPM aktivt. En patch er inkluderet i version 7.3.4.
Cisco har leveret instruktioner til vurdering af, om en enhed er sårbar, samt oplysninger om håndtering af sårbarheden.
Ifølge Security Week er det ikke ualmindeligt, at trusselsaktører retter angreb mod sårbarheder i Cisco-enheder - herunder fejl i mellemlaget, dvs. med en CVSS-score mellem fire og syv. Dette antageligvis fordi der er mange brugere af Cisco-enheder derude, hvorfor en relativt svær sårbarhed at udnytte godt kan betales sig at bruge kræfter på alligevel. Det kan heller ikke udelukkes, at brugerne ikke prioriterer at håndtere sårbarheder med CVSS-scorer mellem fire og syv, fordi de ikke tror, at angribere bruger ressourcer på at udvikle exploits og iværksætte forsøg på udnyttelser.
Links:
https://www.securityweek.com/cisco-warns-exploitation-attempts-targeting-new-ios-xr-vulnerability