CVE-2022-20821

Cisco IOS XR

ВЕРОЯТНОСТЬ 8.8%
Дата обнаружения

2022-05-23

Официальное описание

Cisco IOS XR software health check opens TCP port 6379 by default on activation. An attacker can connect to the Redis instance on the open port and allow access to the Redis instance that is running within the NOSi container.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость возникает при активации функции health check в Cisco IOS XR. Она неконтролируемо открывает TCP-порт 6379 (Redis) на интерфейсах устройства, включая внешние. Атакующий, имеющий доступ к этому порту, может подключиться к экземпляру Redis, работающему внутри контейнера NOSi (Network Operating System Infrastructure). Это может привести к несанкционированному доступу, чтению или модификации данных в Redis, что ставит под угрозу безопасность и стабильность сети.

Как исправить

Установите исправленное ПО от Cisco. Уязвимость устранена в следующих релизах: * Cisco IOS XR 7.0.2 и новее. * Cisco IOS XR 7.1.1 и новее. * Cisco IOS XR 7.2.1 и новее. * Cisco IOS XR 7.3.2 и новее.

Процедура обновления: 1. Скачайте исправленный образ IOS XR с портала Cisco Software Center. 2. Загрузите образ на устройство (например, в harddisk:). 3. Установите его как загрузочный пакет и перезагрузите устройство.

# Пример команд для установки нового образа (выполняются в режиме XR Admin)
admin
install add source harddisk:<имя_файла_образа>.iso
install activate <имя_пакета>
install commit
# После успешной установки выполните перезагрузку
reload

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Отключите функцию health check. Это основная и рекомендуемая временная мера. bash # В режиме конфигурации XR configure terminal no health-check commit end

  2. Ограничьте доступ к порту 6379 с помощью ACL. Разрешите подключения только с доверенных адресов для управления (например, с IP-адресов системы мониторинга). bash # Пример создания и применения IPv4 ACL configure terminal ipv4 access-list ACL-BLOCK-REDIS 10 permit tcp <trusted_network> <wildcard> any eq 6379 20 deny tcp any any eq 6379 30 permit ipv4 any any exit # Примените ACL к интерфейсам (включая management) interface MgmtEth0/RP0/CPU0/0 ipv4 access-group ACL-BLOCK-REDIS ingress commit end

  3. Проверьте состояние портов. Убедитесь, что порт 6379 закрыт на всех интерфейсах после применения мер. bash show tcp brief all | include 6379

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей