Cisco adviseert klanten die Nexus-switches gebruiken met de NX-OS-software om deze zo snel mogelijk te updaten. De fabrikant dichtte een ernstig lek dat aanvallers toelaat om vanop afstand de toegangscontrole tot een netwerk te omzeilen.
De kwetsbaarheid (CVE-2020-10136) in NX-OS kan worden misbruikt om een denial of service uit te lokken op getroffen Nexus-switches of kwaadaardig webverkeer het intern netwerk binnen te loodsen, zonder dat het langs de ACL-filter (Access Control List) passeert.
“Het beveiligingslek is te wijten aan het onverwachte decoderen en verwerken van IP-in-IP-pakketten, die bestemd zijn voor een lokaal geconfigureerd IP-adres”, legt Cisco uit. “Een succesvolle exploit kan ertoe leiden dat het getroffen apparaat onverwacht het IP-in-IP-pakket uitpakt en het interne IP-pakket doorstuurt.”
IP-in-IP
Het IP-in-IP-protocol laat toe dat een IP-pakket kan worden ingekapseld in een ander IP-pakket. Het principe is vergelijkbaar met een IPSEC VPN-tunnel, met dat verschil dat het verkeer onversleuteld blijft. Het protocol pakt het interne IP-adres uit en stuurt het door via IP-routeringstabellen. Een IP-in-IP-apparaat is kwetsbaar, wanneer het pakketten van elke bron naar elke bestemming accepteert, zonder expliciete configuratie tussen de opgegeven bron en bestemming.
Dat is het probleem dat verschillende Nexus-switches van Cisco met ondersteuning voor IP-in-IP treft. De switches mogen IP-in-IP-verkeer in principe pas uitpakken en verwerken wanneer het zo manueel geconfigureerd is via ACL, maar de kwetsbaarheid laat toe om die controle te omzeilen.
Patch beschikbaar
Cisco heeft nog geen weet van actief misbruik, maar geeft de kwetsbaarheid wel een ernstgraad van 8,6 op 10. De fabrikant heeft een patch beschikbaar en adviseert om getroffen hardware zo snel mogelijk te updaten. De volgende producten zijn getroffen:
- Nexus 1000 Virtual Edge for VMware vSphere
- Nexus 1000V Switch for Microsoft Hyper-V
- Nexus 1000V Switch for VMware vSphere
- Nexus 3000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 9000 Series Switches in standalone NX-OS mode
- UCS 6200 Series Fabric Interconnects
- UCS 6300 Series Fabric Interconnects
Voor klanten die niet onmiddellijk kunnen updaten, stelt Cisco enkele workarounds voor, waaronder het gebruik van infrastructure access control lists (iACL) om alleen strikt vereist management en control plane verkeer dat is bestemd voor het getroffen apparaat toe te staan.
Wie meer informatie zoekt over de kwetsbaarheid, alsook de patch en workarounds, kan dit beveiligingsadvies van Cisco raadplegen.