CVE-2018-0147

Cisco Secure Access Control System (ACS)

ВЕРОЯТНОСТЬ 4.0%

Дата обнаружения

2022-03-25

Официальное описание

A vulnerability in Java deserialization used by Cisco Secure Access Control System (ACS) could allow an unauthenticated, remote attacker to execute arbitrary commands on an affected device. The vulnerability is due to insecure deserialization of user-supplied content by the affected software.

🛡️

Технический анализ и план устранения

Суть уязвимости

Уязвимость в механизме десериализации Java в Cisco Secure ACS. Удаленный злоумышленник без аутентификации может отправить специально сформированные сериализованные данные на уязвимый сервер. В результате некорректной обработки этих данных (небезопасной десериализации) возможно выполнение произвольных команд с привилегиями службы ACS.

Как исправить

Установите исправленную версию ПО Cisco Secure ACS. Уязвимость устранена в следующих релизах: * Cisco Secure ACS версии 5.8.0.32.9 и позднее. * Cisco Secure ACS версии 5.7.0.15.8 и позднее.

Порядок действий: 1. Скачайте соответствующий патч или обновленную версию ПО с портала поддержки Cisco (Cisco.com). 2. Создайте резервную копию конфигурации и базы данных ACS. 3. Установите обновление, следуя официальному руководству Cisco: * Для обновления через графический интерфейс (ACS View): System Administration -> Operations -> Software Upgrade. * Для обновления через CLI (ACS CLI): bash # Загрузите файл обновления на сервер, например, по SCP # Установите обновление acs upgrade patch install <путь_к_файлу_патча.tar.gz> 4. Перезагрузите сервер после установки.

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры: 1. Ограничьте сетевой доступ. Настройте правила межсетевого экрана (ACL) так, чтобы разрешить подключение к интерфейсам управления Cisco ACS (порты 443/HTTPS, 22/SSH и т.д.) только с доверенных IP-адресов (адресов администраторов). bash # Пример концепции ACL на маршрутизаторе Cisco access-list 150 permit tcp trusted-admin-host 0.0.0.0 host <ACS_IP> eq 443 access-list 150 permit tcp trusted-admin-host 0.0.0.0 host <ACS_IP> eq 22 access-list 150 deny ip any host <ACS_IP> 2. Используйте WAF. Разместите перед сервером ACS Web Application Firewall (WAF), способный обнаруживать и блокировать вредоносные сериализованные объекты Java (атаки типа "Java deserialization"). 3. Отключите неиспользуемые интерфейсы. Если ACS не должен быть доступен из внешних сетей, убедитесь, что его интерфейсы управления не имеют публичного IP-адреса и не проброшены через NAT.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей