CVE-2021-1498

Суть уязвимости

Уязвимость (CVE-2021-1498) в веб-интерфейсе установщика Cisco HyperFlex HX (виртуальная машина Installer VM) позволяет удаленному атакующему выполнить произвольные команды на уровне операционной системы с правами пользователя tomcat8. Это возможно из-за недостаточной проверки входных данных в определенных HTTP-запросах к интерфейсу.

Как исправить

Установите официальный патч от Cisco, обновив ПО установщика HyperFlex HX до версии, в которой уязвимость устранена.

1. Определите текущую версию: bash # На виртуальной машине Installer VM выполните: cat /etc/hx-release

2. Обновите до исправленной версии. Уязвимость устранена в следующих релизах:

   • HX Data Platform 4.5: Обновитесь до версии 4.5(2a) или новее.
   • HX Data Platform 4.0: Обновитесь до версии 4.0(2a) или новее.

   Скачайте соответствующий установочный пакет обновления (.iso образ) с портала Cisco Software Center и выполните процедуру обновления, следуя официальному руководству Cisco для вашей версии HX Data Platform.

Временное решение

Если немедленное обновление невозможно, изолируйте виртуальную машину установщика (Installer VM) от несанкционированного доступа.

1. Ограничьте сетевой доступ:

   • Настройте правила межсетевого экрана (firewall) так, чтобы HTTP/HTTPS-порты веб-интерфейса Installer VM (по умолчанию 80/TCP, 443/TCP) были доступны только с доверенных IP-адресов администраторов и необходимых систем управления.
   • Запретите любой доступ к Installer VM из интернета или непроизводственных сегментов сети.

2. Отключите ненужные службы (если возможно):

   • После завершения развертывания или обновления кластера HyperFlex виртуальная машина установщика может быть не нужна в постоянной работе. Рассмотрите возможность ее полного выключения и включения только для задач обслуживания.