Positive Technologies
Новости

Positive Technologies помогла Cisco устранить уязвимости в решении для развертывания IT-инфраструктуры

18 июня 2021

Злоумышленники могли нарушить работу IT-систем предприятия, например удалить бэкапы.

Компания Cisco выразила благодарность экспертам Positive Technologies Никите Абрамову и Михаилу Ключникову за обнаружение трех уязвимостей в Cisco HyperFlex HX — гиперконвергентной платформе для организации IT-инфраструктуры с нуля. В 2019 году платформа Cisco HyperFlex была названа лидером в отчете Gartner Magic Quadrant for Hyperconverged Infrastructure.

«Уязвимости позволяют негативно влиять на внутреннюю инфраструктуру предприятия, что может привести к нарушениям в ее работе, — рассказал Никита Абрамов. — Последствия эксплуатации вытекают из назначения гиперконвергентных систем, которые являются по сути ЦОДом из коробки, в одном модуле объединяя системы хранения, серверы, сетевые функции и программное обеспечение. Уязвимости в таких системах позволяют получить доступ к системе управления всей инфраструктурой и повлиять на ее работоспособность: удалить важные файлы, нарушить бизнес-процессы, очистить системы резервного копирования с критически важными данными  сценарии атаки ограничены только фантазией злоумышленника».

По словам эксперта, для успешной эксплуатации уязвимостей злоумышленнику достаточно получить доступ к веб-интерфейсу устройства и отправить конкретный запрос. Специальные права или разрешения, а также аутентификация не требуются. Оценить количество уязвимых устройств трудно, поскольку оборудование подобного рода чаще всего находится во внутренней сети организации. С технической точки зрения это логические ошибки, они часто возникают из-за невнимательности разработчика, вследствие недостаточного тестирования кода на этапе разработки.

Всего в ходе исследования были обнаружены три уязвимости — CVE-2021-1497 (оценка 9,8 по шкале CVSS 3.1, обнаружил Никита Абрамов), CVE-2021-1498 (7,3, обнаружил Михаил Ключников) и CVE-2021-1499 (5,3, обнаружили Абрамов и Ключников). Первые две уязвимости — более опасные, так как их эксплуатация позволяет выполнять произвольные команды в операционной системе устройства с максимальными привилегиями (пользователь root) и правами веб-сервера (Tomcat 8) соответственно. Третья уязвимость позволяла осуществлять загрузку произвольных файлов без авторизации с ограниченными правами на запись; она не столь опасна в сравнении с первыми двумя.

Для устранения уязвимостей необходимо руководствоваться рекомендациями, которые указаны в официальных уведомлениях (1, 2) компании Cisco. Обнаружить попытки эксплуатации уязвимостей в межсетевом экране Cisco позволят системы глубокого анализа сетевого трафика (NTA/NDR), в частности PT Network Attack Discovery. В случае успешной атаки одним из способов выявить признаки проникновения является применение систем класса SIEM (например, MaxPatrol SIEM), которые дают возможность выявить подозрительное поведение, зарегистрировать инцидент и своевременно остановить продвижение злоумышленников внутри корпоративной сети.