Η Cisco κυκλοφόρησε ένα ενημερωτικό patch για μια κρίσιμη ευπάθεια σε λογισμικό που χρησιμοποιείται για τον έλεγχο μεγάλων εικονικών περιβαλλόντων. Η αδυναμία βαθμολογείται με 10 στα 10 στην κλίμακα σοβαρότητας και βρίσκεται στον Ελεγκτή Ελαστικών Υπηρεσιών της Cisco ESC (Elastic Services Controller), τον οποίο η εταιρεία περιγράφει ως ένα ενιαίο σημείο ελέγχου για τη διαχείριση όλων των πτυχών των Εικονικών Δυναμικών Δικτύων (Virtual Network Functions) και παρέχει δυνατότητες VM, παρακολούθησης υπηρεσιών, αυτόματης ανάκτησης και δυναμικής κλιμάκωσης. Σύμφωνα με τη Cisco, με τον ESC οι χρήστες ελέγχουν τον κύκλο ζωής όλων των εικονικών πόρων, είτε χρησιμοποιούν Cisco είτε τρίτων κατασκευαστών VNF.

Το θέμα ευπάθειας στην περίπτωση αυτή βρίσκεται στο REST API του ESC και θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα που δεν έχει ταυτοποιηθεί, να παρακάμψει την πιστοποίηση ταυτότητας στο REST API και να εκτελέσει αυθαίρετες ενέργειες, κατέχοντας δικαιώματα διαχειριστή σε ένα επηρεαζόμενο σύστημα. Σύμφωνα με την προειδοποίηση της Cisco, η ευπάθεια οφείλεται στην ακατάλληλη επικύρωση των αιτημάτων API. Αυτό το θέμα ευπάθειας επηρεάζει τον Cisco ESC που λειτουργεί με λογισμικό έκδοσης 4.1, 4.2, 4.3 ή 4.4 όταν είναι ενεργοποιημένο το REST AP, το οποίο από προεπιλογή είναι απενεργοποιημένο. Η Cisco ανακοίνωσε ότι το πρόβλημα εντοπίστηκε κατά τη διάρκεια δοκιμών εσωτερικής ασφάλειας και κυκλοφόρησε δωρεάν ενημερώσεις λογισμικού που αντιμετωπίζουν αυτήν την ευπάθεια, προτείνοντας άμεση εκτέλεση αναβάθμισης για τη επιδιόρθωσή της. Υπενθυμίζεται ότι η ανακοίνωση αυτή ήταν η δεύτερη “κρίσιμη” ενημερωτική έκδοση της Cisco για αυτόν τον μήνα, καθώς πριν λίγες μέρες δήλωσε ότι υπάρχει κενό ασφαλείας στο Switch του κέντρου δεδομένων Cisco Nexus 9000 Series ACI (Application Centric Infrastructure) που θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει κρυφά πρόσβαση σε πόρους του συστήματος.

του Χάρη Ματθαίου