聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
思科企業 NFVIS 結合網絡功能虛擬化 (NFV) 和軟件定義的網絡 (SDN),使企業能夠提供和管理虛擬網絡服務、應用程序、虛擬機和硬件設備等。為此,NFVIS 一般位於組織機構內網中間並為攻擊者在企業環境中橫向移動提供了完美的跳轉點。
該漏洞的CVSS 評分為9.9,位於該軟件的下一代輸入/輸出 (NGIIO) 特性中。思科發布安全公告稱,它源自不充分的guest 限制——有人簽名登錄主機機器上的 guest 虛擬機並逃逸,獲得對底層主機的越權root訪問權限。思科表示,「攻擊者可從虛擬機發送API調用,利用該漏洞。成功利用可導致攻擊者完全攻陷NFVIS主機。」
思科已發布補丁。
Sevco Security 公司的首席執行官兼聯合創始人 JJ Guy 指出,企業需要嚴肅對待該漏洞,因為它們依賴於 guest 虛擬機分割工作負載,為不同的應用程序和用戶提供不同的權限級別,隔離造成更多安全風險的應用程序。
他指出,「虛擬機逃逸漏洞使用戶具有從guest 訪問主機的權限,這一點非常重要,不管是否需要被認證。」他認為私營企業應當採取和大型雲提供商一樣的方法阻止逃逸。他提到,「整個公有雲基礎設施都基於虛擬機是可靠的安全邊界這一點。當公有雲提供商通過虛擬機將一個物理盒子上的計算賣到多個不同的客戶端時,必須能夠確保這些客戶端不會相互影響。如出現失敗,則破壞了正快速成為計算的重要組成部分。」
思科還修復了兩個其它漏洞CVE-2022-20779和CVE-2022-20780。CVE-2022-20779(CVSS 評分8.8)是一個位於鏡像註冊進程中的高危命令注入漏洞,如遭成功利用可導致未認證的遠程攻擊者注入命令,並在 NFVIS 主機的root 級別執行。
安全公告指出,「該漏洞是因為不當的輸入驗證造成的。攻擊者可通過說服主機管理員安裝具有構造元數據的虛擬機鏡像實施利用,在虛擬機註冊進程中,將以root 權限執行命令。」
CVE-2022-20780的CVSS評分為7.4,可導致未認證的遠程攻擊者將主機中的系統數據泄露給任何已配置的虛擬機,包括包含敏感用戶數據的文件。更糟糕的是,未認證攻擊者可直接獲取機密系統信息的訪問權限。思科指出,「該漏洞是因為XML解析器中外部實體的解析引起的。攻擊者可說服管理員導入構造的文件,利用該漏洞從主機中讀取數據並將其寫入任何已配置的虛擬機。」
用戶應快速打補丁,並執行強密碼清理工作,阻止類似攻擊。思科軟件此前曾遭攻擊。今年2月份,美國國家安全局就曾發布指南,鑑於很多攻陷事件牽涉到保護不當的網絡基礎設施,要求組織機構為思科設備選擇健壯密碼。
https://www.darkreading.com/vulnerabilities-threats/critical-cisco-vm-escape-bug-host-takeover
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表