Sechs Server, auf die Cisco einen virtuellen Netzwerkdienst stellt, wurden von Hackern kompromittiert, die kritische Fehler ausnutzten, die in nicht gepatchten Versionen enthalten sind, auf die sich der Open-Source-Softwaredienst stützt, wie das Unternehmen am Donnerstag mitteilte.
Haben Sie Updates?
Der Kompromiss vom 7. Mai traf sechs Cisco-Server, die Backend-Konnektivität zum Virtual Internet Routing Lab Personal Edition (VIRL-PE) bieten, einem Cisco-Service, mit dem Kunden Netzwerktopologien entwerfen und testen können, ohne tatsächliche Geräte bereitstellen zu müssen. Sowohl der VIRL-PE als auch ein zugehöriger Service, Cisco Modeling Labs Corporate Edition, integrieren das Salt-Management-Framework, das ein Paar von Fehlern enthielt, die in Kombination kritisch waren. Die Sicherheitsanfälligkeiten wurden am 30. April öffentlich.
Cisco stellte die anfälligen Server am 7. Mai bereit und wurde noch am selben Tag kompromittiert. Cisco hat sie ebenfalls am 7. Mai abgenommen und saniert. Die Server waren:
- us-1.virl.info
- us-2.virl.info
- us-3.virl.info
- us-4.virl.info
- vsm-us-1.virl.info
- vsm-us-2.virl.info
Cisco sagte, dass ohne Updates alle VIRL-PE- oder CML-Produkte, die in eigenständigen oder Clusterkonfigurationen bereitgestellt werden, anfällig für die gleichen Arten von Kompromissen bleiben. Das Unternehmen veröffentlichte Software-Updates für die beiden anfälligen Produkte. Cisco bewertete den Schweregrad der Schwachstellen mit einem Ranking von 10 von 10 auf der CVSS-Skala.
Die Salt-Schwachstellen sind CVE-2020-11651, eine Authentifizierungsumgehung, und CVE-2020-11652, ein Verzeichnis-Traversal. Zusammen ermöglichen sie unberechtigten Zugriff auf das gesamte Dateisystem des Master-Salzservers, auf den Dienste mit Salt angewiesen sind. F-Secure, die Firma, die die Schwachstellen entdeckt hat, hat eine gute Beschreibung von ihnen hier.
Treten Sie dem Club bei
Cisco und seine Kunden sind nur eine kleine Auswahl von denen, die in den letzten Wochen von den Salt Bugs gebissen wurden. Anfang dieses Monats berichtete die Blogging-Plattform Ghost, dass Hacker den Fehler ausgenutzt hatten, um Server in seinem privaten Netzwerk mit Currency-Mining-Malware auf seinen Servern zu infizieren.
Andere Gruppen, die ebenfalls betroffen sind, sind Digicert, LineageOSund Xen Orchestra.
Die Reihe von Angriffen auf eine so unterschiedliche Liste von Zielen unterstreicht die Vernetzung der Internetdienste heute. Eine kritische Schwachstelle in einem Stück kann oft schnell ausdematoren. Jeder, der Software oder Dienste verwendet, die auf Salt angewiesen sind – ob Cisco oder nicht – würde gut daran tun, sicherzustellen, dass sie aktualisiert wurden.
