Gravi Vulnerabilità in Infrastrutture Cisco UCS

Proto: N020819.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di vulnerabilità critiche all’interno di Cisco UCS Director, principale software di gestione delle infrastrutture data-center e private-cloud basate su Cisco Unified Computing. Le criticità sono note con gli identificativi CVE-2019-1937, CVE-2019-1936, CVE-2019-1935.

A causa di vari errori nella gestione delle sessioni utente e delle credenziali, risulta possibile la completa compromissione della macchina bersaglio da parte di un attaccante remoto privo di autenticazioni. Le criticità citate permettono infatti di raggiungere tale obiettivo in due modalità:

  1. Attraverso l’abuso delle credenziali di default dell’utente di sistema “scpuser”, il quale può essere utilizzato anche per accessi SSH (CVE-2019-1935).
  2. Attraverso lo sfruttamento concatenato delle vulnerabilità CVE-2019-1937 e CVE-2019-1936, le quali permettono di bypassare alcuni controlli di autenticazione utente e di eseguire comandi arbitrari per via di lacune di validazione degli input nelle servlet di cambio password.

Il Vendor ha confermato le problematiche attraverso i bollettini CISCO-SA-20190821-IMCS-UCS-AUTHBY, CISCO-SA-20190821-IMCS-UCS-CMDINJ e CISCO-SA-20190821-IMCS-USERCRED dove risultano afflitte le versioni:

  • Cisco IMC Supervisor 2.1, 2.2.0.0 sino a  2.2.0.6
  • Cisco UCS Director 6.0, 6.5, 6.6.0.0 e 6.6.1.0, 6.7.0.0 e 6.7.1.0
  • Cisco UCS Director Express for Big Data 3.0, 3.5, 3.6, 3.7.0.0 e 3.7.1.0

Considerata la potenziale criticità delle infrastrutture afflitte e la recente pubblicazione di dettagli tecnici relativi allo sfruttamento delle problematiche, Yoroi consiglia in primo luogo di cambiare le credenziali dell’utente “scpuser” attraverso la maschera raggiungibile dal menù “Administration > Users and Groups > SCP User Configuration”, in seguito di pianificare l’applicazione degli aggiornamenti di sicurezza disponibili e di verificare che eventuali servizi vulnerabili siano raggiungibili solamente da reti fidate.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index