Удаленный атакующий может создавать собственные административные учетные записи
Компания Cisco выпустила обновления безопасности для устранения критической уязвимости в виртуальном устройстве Cisco Umbrella, позволяющей неавторизованному атакующему удаленно похищать учетные данные администратора.
Фрейзер Хесс из Pinnacol Assurance обнаружил уязвимость (отслеживаемую как CVE-2022-20773) в механизме SSH-аутентификации на основе ключей в Cisco Umbrella VA. Облачная служба безопасности Cisco Umbrella применяется более чем в 24 000 организаций в качестве защиты DNS-уровня от фишинга, вредоносных программ и программ-вымогателей. Решение использует локальные виртуальные машины в качестве условных DNS-переадресаторов, которые записывают, шифруют и аутентифицируют DNS-данные.
«Обнаруженная уязвимость связана с наличием статического ключа SSH-хоста. Злоумышленник может воспользоваться уязвимостью, выполнив атаку типа «человек посередине» на SSH-подключение с Umbrella VA. Успешная эксплуатация уязвимости позволяет хакеру узнать учетные данные администратора, изменить конфигурацию или перезагрузить виртуальное устройство.», - пояснили специалисты из Cisco.
Уязвимость обнаружена в Cisco Umbrella VA для Hyper-V и VMWare ESXi с версиями программного обеспечения ранее 3.3.2.
Уязвимость не повлияет на стандартные конфигурации Umbrella VA
К счастью, Cisco заявила, что SSH-служба не включена по умолчанию на локальных виртуальных машинах Umbrella, что значительно снижает общее влияние уязвимости.
Чтобы проверить, включен ли SSH на ваших виртуальных устройствах Cisco Umbrella, войдите в консоль гипервизора, потом нажмите CTRL+B чтобы попасть в режим конфигурации, и проверьте конфигурацию виртуальной машины, выполнив команду config va show.
Вывод команды должен включать строку «SSH access : enabled» в конце на системах, где SSH включен.
Обойти уязвимость или смягчить последствия её использования невозможно. Поэтому Cisco рекомендует клиентам перейти на исправленную версию программы.
Команда Cisco Product Security Incident Response Team (PSIRT) также сообщила, что в Интернете нет публичного кода эксплойта для доказательства концепции этой уязвимости, и добавила, что ей ничего не известно о какой-либо текущей эксплуатации уязвимости в дикой природе.