Phát hiện lỗ hổng bảo mật trong API REST của Cisco cho phép tin tặc kiểm soát các bộ định tuyến của Cisco từ xa

Cisco mới đây vừa phát hành bản cập nhật bảo mật cho một lỗ hổng bảo mật nghiêm trọng cho phép bỏ qua các bước xác thực trong bộ chứa dịch vụ ảo Cisco REST API của hệ điều hành Cisco ISO XE, có thể cho phép kẻ tấn công từ xa bỏ qua các bước xác thực và chiếm quyền điều khiển thiết bị Cisco.

Phát hiện lỗ hổng bảo mật trong API REST của Cisco cho phép tin tặc kiểm soát các bộ định tuyến của Cisco từ xa - CyberSec365.org

Cisco IOS XE là một hệ điều hành kết nối mạng, chủ yếu được triển khai trong các bộ định tuyến và bộ chuyển mạch Catalyst của Cisco ARS 1000 như Cisco 3850 thường được sử dụng trong các doanh nghiệp.
Lỗ hổng xác thực lần này đã ảnh hưởng đến Cisco IOS XE thông qua tiến trình kiểm tra được thực hiện bởi REST API authentication service, một ứng dụng chạy trong container dịch vụ ảo hóa, thực hiện không đúng quy trình
Với lỗ hổng bảo mật này, kẻ tấn công hoàn toàn có thể khai thác nó bằng cách gởi các yêu cầu HTTP độc hại đến thiết bị được nhắm mục tiêu. Khi lỗ hổng được khai thác thành công, tin tặc hoàn toàn có thể lấy được token-id của tài khoản người dùng chính thức.
Một khi đã lấy được token-id của người dùng đã được xác thực thành công, ID này có thể cho phép tin tặc bỏ qua bước xác thực thiết bị và thực thi đặc quyền hệ thống thông qua giao diện của bộ chứa dịch vụ ảo REST API.

Hiện tại, lỗ hổng bảo mật này ảnh hưởng đến các thiết bị sau:

• Routers Cisco 4000 Series
• Routers Cisco ASR 1000 Series
• Routers Cisco Cloud Services 1000V Series
• Virtual Routers Cisco Integrated Services

Theo Cisco, để khai thác lỗ hổng, tin tặc cần phải đáp ứng các điều kiện sau:

• Thiết bị chạy bản phát hành Phần mềm Cisco IOS XE bị ảnh hưởng.
• Thiết bị đã cài đặt và kích hoạt phiên bản Cisco REST API virtual service container.
• Người dùng có quyền quản trị viên (cấp 15) được xác thực với API REST.

Làm sao để biết thiết bị của mình có bị ảnh hưởng không?

Để tìm xem liệu bộ chứa dịch vụ API REST của Cisco có được kích hoạt hay không, quản trị viên có thể sử dụng lệnh sau và tham khảo tham số trả về.

router#show virtual-service detail | include Restful

Restful API   Enabled, UP             port: 55443

Nếu bạn không tìm thấy chuỗi Enabled, UP thì thiết bị của bạn không bị ảnh hưởng bởi lỗ hổng này.

Nếu thiết bị đang sử dụng Affected Cisco REST API Virtual Service Container Release, bạn có thể sử dụng lệnh EXEC đặc quyền sau.

  router#show virtual-service version installed
Virtual service csr_mgmt installed version:
Name: csr_mgmt
 Version: 16.09.03

Nếu bạn có thể thấy sự kết hợp của tên và phiên bản dịch vụ ảo được liệt kê trong đầu ra, thì bạn có thể kết luận rằng thiết bị của bạn đang sử dụng bộ chứa dịch vụ ảo REST API dễ bị tổn thương.

Hiện tại, Cisco đã phát hành bản vá lỗi cho REST API virtual service container và bản vá lỗi cho Cisco IOS XE để ngăn chặn các cuộc tấn công nhắm vào lỗ hổng bảo mật này. Các quản trị viên được khuyến nghị nên nhanh chóng cập nhật các bản vá bảo mật để đảm bảo an toàn, anh ninh hệ thống.

Đại Phát (Theo GBHacker)