CVE-2024-20399

Cisco NX-OS

ВЕРОЯТНОСТЬ 0.8%
Дата обнаружения

2024-07-02

Официальное описание

Cisco NX-OS contains a command injection vulnerability in the command line interface (CLI) that could allow an authenticated, local attacker to execute commands as root on the underlying operating system of an affected device.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-20399 представляет собой критическую уязвимость типа Command Injection в интерфейсе командной строки (CLI) операционной системы Cisco NX-OS. Проблема вызвана недостаточной валидацией аргументов, передаваемых в специфические команды CLI.

Локальный злоумышленник, обладающий валидными учетными данными администратора (или имеющий доступ к CLI с соответствующими привилегиями), может внедрить и выполнить произвольные команды в базовой операционной системе Linux с правами root. Это позволяет полностью скомпрометировать устройство, установить бэкдоры и скрыть следы присутствия, минуя стандартные механизмы логирования NX-OS.

Как исправить

Единственным надежным способом устранения уязвимости является обновление программного обеспечения Cisco NX-OS до исправленной версии. Cisco выпустила обновления для различных линеек коммутаторов (Nexus 3000, 5000, 6000, 7000, 9000 в различных режимах).

  1. Проверьте текущую версию NX-OS:
show version

  1. Определите необходимую целевую версию согласно официальному бюллетеню Cisco (обычно это ветки 9.3(13), 10.2(6), 10.3(3) и выше, в зависимости от платформы).

  2. Загрузите исправленный образ на устройство:

copy scp://user@server/nxos_image.bin bootflash:
  1. Выполните установку обновления (Impactful Upgrade):
install all nxos bootflash:nxos_image.bin

Временные меры

Для данной уязвимости не существует программных способов исправления (workarounds) без обновления системы. Однако, для снижения риска эксплуатации до момента установки патча, необходимо выполнить следующие действия:

  1. Ограничьте доступ к CLI устройства только для доверенных администраторов.
  2. Используйте выделенную сеть управления (Management VRF) и списки контроля доступа (ACL) для ограничения SSH-доступа:
line vty
access-class MGMT_ACL in
  1. Настройте внешнюю аутентификацию, авторизацию и учет (AAA) через RADIUS или TACACS+, чтобы обеспечить детальный аудит действий пользователей:
aaa group server tacacs+ TAC_SERVER
aaa accounting default group TAC_SERVER
  1. Регулярно проверяйте системные логи на предмет подозрительных команд или попыток доступа к системным оболочкам:
show logging last 100
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей