思科的CloudCenter Orchestrator被發現有一個權限升級漏洞。對此,專家Matthew Pascucci解釋了它的工作原理,并介紹了企業需要了解的內容。
業界有一個關鍵的安全公告,是 針對Cisco CloudCenter Orchestrator中的一個漏洞,該漏洞導致Docker Engine管理端口可以在Cloud Orchestrator系統之外訪問。這是什么意思,這個漏洞是如何工作的?
此漏洞使未經身份驗證的遠程攻擊者能夠將Docker容器安裝到系統中,并允許他獲得升級的權限,例如root。這一攻擊是由于配置錯誤,導致攻擊者可以訪問Docker管理端口,并允許他們在管理員不知情的情況下將Docker容器提交到Cisco CloudCenter Orchestrator中。
Docker是開源軟件,可讓在虛擬化硬件上運行應用程序的多個實例,其靈活可以將這些容器移入云平臺,實現高可移植性。這些容器比通常的虛擬機更輕便,并且將在共享類似的庫的主機下運行。運行在這些容器中的應用程序可以快速移植到支持它們的主機上。最近披露的關于思科漏洞的問題,意味著在你的CloudCenter Orchestrator中可能還運行著其它的,不是你配置的容器,并且用于惡意目的。
如果攻擊者能夠將容器插入Cisco CloudCenter Orchestrator,那么他還可以在基礎設施上托管惡意軟件,并通過硬件進行他所能考慮到的行為。這可能包括托管絡釣魚網站、指揮控制網站或任何其他的惡意用途網站。
思科咨詢還提到容器安裝的權限很高,這意味著除了安裝了不好的Docker容器外,CloudCenter Orchestrator可能做出額外的妥協。思科指出,這還可能會有二次影響,允許攻擊者獲得系統的root權限。如果發現 你的系統是脆弱的,或者可以輕易剝削,那么你的事件響應計劃就需要立即采取行動了。
根據思科說,此漏洞將影響所有版本的Cisco CloudCenter ,使得Docker Engine TCP端口2375打開的、并綁定到本地地址0.0.0.0上。目前,思科其它產品還沒有其受此漏洞影響。
思科建議運行netstatantant | grep 2375來驗證端口是否打開并綁定到了0.0.0.0。另一個建議是使用docker images命令查看當前在Cisco CloudCenter Orchestrator上安裝的運行容器。你可以運行命令docker ps -a來獲取所有容器的運行列表。看到結果后,你必須了解環境,以了解攻擊者可能插入的結果。
還有一些可能沒有支持合同的解決方法。第一個是限制Docker Engine端口綁定到127.0.0.1而不是0.0.0.0。 二是使用外部防火墻設備來過濾對管理端口的訪問。
這一安全漏洞 需要盡快修補,思科已經發布了一個修補程序和一個針對該漏洞的咨詢工具來幫助修復威脅。
京公網安備 11010502049343號