思科修复严重的虚拟机逃逸漏洞,可使主机遭接管
编译:代码卫士
思科企业 NFVIS 结合网络功能虚拟化 (NFV) 和软件定义的网络 (SDN),使企业能够提供和管理虚拟网络服务、应用程序、虚拟机和硬件设备等。为此,NFVIS 一般位于组织机构内网中间并为攻击者在企业环境中横向移动提供了完美的跳转点。
该漏洞的CVSS 评分为9.9,位于该软件的下一代输入/输出 (NGIIO) 特性中。思科发布安全公告称,它源自不充分的guest 限制——有人签名登录主机机器上的 guest 虚拟机并逃逸,获得对底层主机的越权root访问权限。思科表示,“攻击者可从虚拟机发送API调用,利用该漏洞。成功利用可导致攻击者完全攻陷NFVIS主机。”
思科已发布补丁。
Sevco Security 公司的首席执行官兼联合创始人 JJ Guy 指出,企业需要严肃对待该漏洞,因为它们依赖于 guest 虚拟机分割工作负载,为不同的应用程序和用户提供不同的权限级别,隔离造成更多安全风险的应用程序。
他指出,“虚拟机逃逸漏洞使用户具有从guest 访问主机的权限,这一点非常重要,不管是否需要被认证。”他认为私营企业应当采取和大型云提供商一样的方法阻止逃逸。他提到,“整个公有云基础设施都基于虚拟机是可靠的安全边界这一点。当公有云提供商通过虚拟机将一个物理盒子上的计算卖到多个不同的客户端时,必须能够确保这些客户端不会相互影响。如出现失败,则破坏了正快速成为计算的重要组成部分。”
思科还修复了两个其它漏洞CVE-2022-20779和CVE-2022-20780。CVE-2022-20779(CVSS 评分8.8)是一个位于镜像注册进程中的高危命令注入漏洞,如遭成功利用可导致未认证的远程攻击者注入命令,并在 NFVIS 主机的root 级别执行。
安全公告指出,“该漏洞是因为不当的输入验证造成的。攻击者可通过说服主机管理员安装具有构造元数据的虚拟机镜像实施利用,在虚拟机注册进程中,将以root 权限执行命令。”
CVE-2022-20780的CVSS评分为7.4,可导致未认证的远程攻击者将主机中的系统数据泄露给任何已配置的虚拟机,包括包含敏感用户数据的文件。更糟糕的是,未认证攻击者可直接获取机密系统信息的访问权限。思科指出,“该漏洞是因为XML解析器中外部实体的解析引起的。攻击者可说服管理员导入构造的文件,利用该漏洞从主机中读取数据并将其写入任何已配置的虚拟机。”
用户应快速打补丁,并执行强密码清理工作,阻止类似攻击。思科软件此前曾遭攻击。今年2月份,美国国家安全局就曾发布指南,鉴于很多攻陷事件牵涉到保护不当的网络基础设施,要求组织机构为思科设备选择健壮密码。
思科修复NSA报告的Nexus 交换机DoS漏洞及其它
思科修复严重的企业 NFVIS 缺陷
VPN路由器存在 RCE 0day,思科不打算修复
思科称其安全设备易受 SNIcat 数据渗透攻击
https://www.darkreading.com/vulnerabilities-threats/critical-cisco-vm-escape-bug-host-takeover
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。