Sommario
Cisco ha recentemente identificato diverse vulnerabilità di sicurezza nei suoi prodotti APIC e NX-OS. Queste vulnerabilità potrebbero consentire l’escalation dei privilegi, l’esecuzione di codice arbitrario, attacchi Denial of Service (DoS) e azioni di policy non autorizzate. Di seguito sono riportati i dettagli delle vulnerabilità identificate e le raccomandazioni per mitigarle.
1. Cisco APIC: Escalation dei Privilegi e Azioni di Policy Non Autorizzate
Vulnerabilità di Escalation dei Privilegi: Riguarda Cisco Application Policy Infrastructure Controller (APIC) nelle versioni precedenti alla 5.3(2d) e 6.0(6c). Le versioni 6.1 e successive non sono vulnerabili. Cisco consiglia di migrare a queste versioni fisse per risolvere il problema.
Vulnerabilità di Azioni di Policy Non Autorizzate: Colpisce Cisco APIC quando sono configurati domini di sicurezza ristretti associati a utenti con permessi di gestione delle porte (port-mgmt). Cisco suggerisce di verificare se i domini di sicurezza ristretti sono configurati e se gli utenti hanno permessi port-mgmt per determinare la vulnerabilità. Se entrambe le condizioni sono vere, è necessario prendere provvedimenti per mitigare il rischio.
2. Cisco NX-OS: vulnerabilità di Esecuzione di Codice Arbitrario e Altri Problemi
Vulnerabilità di Esecuzione di Codice Arbitrario e Escalation dei Privilegi tramite Bash: Affligge le serie Nexus 3000 e Nexus 9000 in modalità standalone NX-OS. Gli utenti possono verificare se la shell Bash è abilitata e se gli utenti sono configurati per utilizzarla al login. Cisco ha introdotto misure di rafforzamento per limitare l’accesso alla shell Bash agli utenti con il ruolo network-admin o un ruolo RBAC personalizzato.
Vulnerabilità di Injection di Comandi: Impatta su diverse versioni del software NX-OS. Cisco fornisce un Cisco Software Checker per aiutare i clienti a determinare la loro esposizione e le versioni software che correggono le vulnerabilità descritte.
Vulnerabilità Denial of Service (DoS) tramite DHCPv6 Relay Agent: Cisco ha rilasciato aggiornamenti software gratuiti per risolvere questa vulnerabilità. I clienti senza un contratto di servizio Cisco possono ottenere aggiornamenti contattando il Cisco TAC.
Vulnerabilità di Fuga dalla Sandbox Python: Coinvolge i switch delle serie Nexus 3000 e 9000. Cisco ha rilasciato aggiornamenti per il software NX-OS e fornisce patch specifiche (SMU) per queste vulnerabilità.
Raccomandazioni generali
Cisco consiglia vivamente ai clienti di:
- Aggiornare i loro dispositivi alle versioni più recenti del software che includono le correzioni per queste vulnerabilità.
- Utilizzare il Cisco Software Checker per identificare le vulnerabilità applicabili e le versioni software che le risolvono.
- Contattare il Cisco Technical Assistance Center (TAC) per qualsiasi domanda o necessità di supporto.
