命令注入漏洞可导致思科设备遭接管,引发供应链攻击
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
用于数据中心、大型企业、工业工厂、电厂、制造中心和智能城市电网中的思科设备中存在安全漏洞,可导致攻击者获得对这些设备和更多网络的无限访问权限。
昨天,Trellix公司的研究员发布报告披露了两个漏洞,其中一个影响如下思科网络设备:
Cisco ISR 4431 路由器
800 Series Industrial ISRs
CGR1000 Compute Modules
IC3000 Industrial Compute Gateways
配置IOx的基于IOS XE的设备
IR510 WPAN 工业路由器
Cisco Catalyst 访问点
影响上述设备的漏洞是CSCwc67015,存在于尚未发布的代码中,本可导致黑客远程执行代码并可能覆写设备上的多数文件。第二个漏洞CVE-2023-20076的危害更严重,它位于生产环境中,是一个命令注入漏洞,可导致越权根级别访问权限和远程代码执行后果。利用该漏洞不仅能获得设备操作系统的全部控制权限,还能在任何升级或重启后获得持久性。
鉴于思科网络设备用于全球数据中心、企业和政府机构中,也是工业站点中常见的设备,因此这些漏洞的影响巨大。Trellix 公司的高级研究员 Sam Quinn指出,“在路由器、交换机和网络世界中,思科是当前的市场之王。我们认为数千家企业可能受影响。”
研究人员认为,这两个漏洞是路由技术性质转变的副产品。当前网络管理员能够将应用容器甚至是整个虚拟机部署在这些微型服务器路由器上。复杂度增加引发的是功能的增加和攻击面的扩大。
报告解释称,“现代路由器就像高性能服务器,随着很多以太网端口不仅路由软件还在一些情况下,路由多个容器。”CSCwc67015和CVE-2023-20076均源自路由器的高阶应用托管环境。CSCwc67015说明在托管环境中,“恶意打包的应用能够在加压所上传应用的同时绕过重要的安全检查。”该检查试图防御位于Python某模块中已存在15年的一个路径遍历漏洞(CVE-2007-4559),该漏洞的CVSS评分为5.5,可导致恶意人员覆写任意文件。
同时,CVE-2023-20076也利用该能力,在思科路由器上部署应用容器和虚拟机。在这种情况下,它与管理员传递命令运行其应用的方式有关。研究人员发现,“接口设置中的‘DHCP 客户端ID’选项并未正确清理”,从而导致攻击者获得对设备的根访问权限,“能够注入任意OS命令”。利用该能力的黑客“可对设备功能和网络的整体安全性造成重大影响”,如,“修改或禁用安全特性、破坏网络流量、传播恶意软件并运行恶意进程”。后果远不止如此,研究人员还强调了“思科对安全的极高优先级做法使其尝试通过重启和系统重置处理攻击问题”。然而,在PoC 视频中,研究员展示了如何利用该命令注入漏洞获得完全不受限制的权限,导致恶意容器通过设备重启或固件升级的方式仍然存在。因此消除攻击的可能方式仅有两种:完全回复出厂设置或者手动识别并删除恶意代码。
如果说这些bug也存在一丝好处的话,那就是利用它们都需要对相关的思科设备具有管理员权限。虽然有这一障碍,但黑客能够通过社工和提权的方式从受害者处获得管理员权限。研究人员也注意到用户通常不会更改默认用户名和密码,从而也不会对最敏感的账户部署防御措施。
我们也必须考虑供应链风险。报告强调称很多组织机构从第三方卖家购买网络设备或者通过第三方服务提供商获得设备配置和网络涉及信息。恶意厂商可利用CVE-2023-20076这样的漏洞做一些特别容易的、细微但强大的篡改操作。
单是该漏洞提供的权限就可“用于安装并隐藏后门,使得篡改对于终端用户而言完全透明”。当然,很大一部分第三方服务提供商都是完全诚信的业务,但这些企业本身受陷会导致它们成为一个争论点。
报告最后督促组织机构查看思科相关设备中是否存在异常容器,并建议未运行容器的组织机构完全禁用I0x容器框架。他们强调称,最重要的是,“拥有受影响设备的组织机构应当立即更新至最新固件版本”。
为保护自身安全,用户应尽快应用该补丁。
速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整
Apache Cassandra 开源数据库软件修复高危RCE漏洞
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击
美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录(全文)
OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节
美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全
Apache开源项目 Xalan-J 整数截断可导致任意代码执行
Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
原文链接:
https://www.darkreading.com/ics-ot/command-injection-bug-cisco-industrial-gear-devices-complete-takeover
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。