Cisco đã cảnh báo khách hàng sử dụng switch Nexus cần chạy phần mềm NX-OS để cài đặt các bản cập nhật nhằm giải quyết lỗ hổng nghiêm trọng, cho phép hacker bỏ qua các điều khiển truy cập mạng và định tuyến lưu lượng truy cập internet độc đến các mạng nội bộ.
Lỗ hổng CVE-2020-10136, có thể được sử dụng để kích hoạt từ chối dịch vụ trên switch Nexus, hoặc đáng lo ngại hơn là định tuyến lưu lượng truy cập từ máy tấn công đến mạng nội bộ mục tiêu sau khi vượt qua cơ chế Danh sách kiểm soát truy cập (ACL) đầu vào vốn được áp dụng để lọc lưu lượng truy cập internet.
Một số thiết bị switch Nexus của Cisco được sử dụng rộng rãi đang tồn tại lỗ hổng khiến thiết bị ” bất ngờ giải mã và xử lý IP trong các gói IP được gửi đến địa chỉ IP được cấu hình cục bộ, ngay cả khi không có cấu hình tunnel”.
ETF RFC 2003 cho giao thức tunnel IP-in-IP cho phép các gói IP được đóng gói bên trong các gói IP khác, với lưu lượng luôn luôn không được mã hóa.
Vì vậy Sarvepalli thuộc US CERT Coordination Center (CERT/CC) giải thích rằng giao thức sẽ mở gói IP bên trong và chuyển tiếp qua các bảng định tuyến IP, khiến một thiết bị đứng trước nguy cơ bị tấn công nếu chấp nhận các gói này từ bất cứ đâu mà không bị giới hạn. “Một thiết bị IP-in-IP được coi là bị lỗi nếu nó chấp nhận các gói IP-in-IP từ bất kỳ nguồn nào đến bất kỳ đích nào mà không có cấu hình rõ ràng giữa các địa chỉ IP nguồn và đích được chỉ định”, Sarvepalli viết.
Và đó là vấn đề ảnh hưởng đến nhiều thiết bị Cisco Nexus NX-OS hỗ trợ đóng gói và giải mã gói IP-in-IP: không giải mã và xử lý bất kỳ IP nào trong lưu lượng IP đến giao diện tunnel của thiết bị trừ khi được cấu hình thủ công bằng ACL điều khiển tunnel inbound.
Việc khai thác thành công có thể khiến thiết bị dính lỗi bất ngờ phân tách IP trong gói IP và chuyển tiếp gói IP bên trong. Điều này có thể dẫn đến các gói IP bỏ qua danh sách kiểm soát truy cập đầu vào (ACL) được cấu hình trên thiết bị bị ảnh hưởng hoặc các ranh giới bảo mật khác được xác định ở nơi khác trong mạng”,Cisco lưu ý.
“Bất kỳ ACL đầu vào nào được cấu hình trên giao diện gửi đến của thiết bị lỗi đều được đánh giá theo các trường IP trên gói IP của nhà mạng trước khi giải mã; nó sẽ không được đánh giá trên gói IP khách”, Cisco giải thích thêm.
“Điều này có thể dẫn đến gói IP khách bỏ qua bộ lọc ACL. Điều này cũng có thể cho phép gói IP khách vượt qua các ranh giới bảo mật khác có thể được xác định trong đường dẫn mạng đến thiết bị tồn tại lỗ hổng khi có các kỹ thuật lọc mạng chỉ kiểm tra tiêu đề IP bên ngoài và không phải gói IP bên trong”.
Ngoài ra, kẻ tấn công liên tục khai thác lỗi có thể khiến network stack của thiết bị gặp sự cố, dẫn đến việc từ chối dịch vụ trên thiết bị switch bị ảnh hưởng. Cisco đánh giá lỗi này ở mức là 8,6 /10. CERT/CC cho biết lỗi này có thể dẫn đến một cuộc tấn công từ chối dịch vụ, rò rỉ thông tin và bỏ qua kiểm soát mạng.
Đối với những người không thể cài đặt bản cập nhật ngay lập tức, Sarvepalli của CERT/CC có thể ngăn chặn các gói IP-in-IP bằng cách lọc 4 gói giao thức IP tại bộ router đầu hoặc thiết bị khác. Cisco cũng đề xuất biện pháp này, nhưng trước tiên khuyên khách hàng sử dụng “danh sách kiểm soát truy cập cơ sở hạ tầng (iACLs) để chỉ cho phép quản lý và kiểm soát “plane traffic” được yêu cầu nghiêm ngặt dành cho thiết bị bị ảnh hưởng”.
Danh sách các switch Nexus bị ảnh hưởng gồm:
- Nexus 1000 Virtual Edge cho VMware vSphere
- Nexus 1000V Switch cho Microsoft Hyper-V
- Nexus 1000V Switch cho VMware vSphere
- Nexus 3000 Series Switch
- Nexus 5500 Platform Switch
- Nexus 5600 Platform Switch
- Nexus 6000 Series Switch
- Nexus 7000 Series Switch
- Nexus 9000 Series Switch
- UCS 6200 Series Fabric Interconnects
- UCS 6300 Series Fabric Interconnects
