Разработчики: | Cisco Systems |
Дата премьеры системы: | 2016 |
Технологии: | Центры обработки данных - технологии для ЦОД |
Содержание |
Система Cisco Nexus Fabric Manager была представлена в марте 2016 года в числе ряда других технологических инноваций Cisco для ЦОД . Cisco Nexus Fabric Manager с графическим интерфейсом на базе веб автоматизирует управление полным жизненным циклом сетевой инфраструктуры, обеспечивает автоматизированное сохранение рабочей конфигурации сети и в случае поломок, откат к работающей конфигурации. Система создает сетевую инфраструктуру на основе технологии VXLAN и дает операторами возможность управляет ею, динамически конфигурируя коммутаторы для передачи данных по оптимальным маршрутам. Инструмент также дает владельцам сетевой инфраструктуры с помощью технологии VXLAN оперативно настроить корпоративную сеть, а также обновить все ее коммутаторы, установив новую версию ПО, для чего потребуется минимальные действия.
История
2024: В продукте Cisco найдена ошибка, позволяющая хакерам выполнять команды с полномочиями администраторов
ФСТЭК в начале октября разослала предупреждение о критической ошибке BDU:2024-07739[1], которая позволяет нарушителю, действующему удаленно, выполнить произвольный код путём отправки специально сформированных команд. Уязвимым оказался Nexus Dashboard Fabric Controller (Cisco NDFC), в веб-интерфейсе которого не были приняты меры по нейтрализации специальных элементов, используемых в команде ОС. Это относится ко всем версиям NDFC вплоть до 11.5 (для них исправлений не предвидится) и версии с 12.0 по 12.2.2, в которой ошибка исправлена. Эксплуатации данной уязвимости компания Cisco не обнаружила, хотя уровень ее опасности составляет 9.9 из 10 по методике CVSS.
Следует отметить, что ошибку обнаружила служба тестирования самой Cisco – в частности, сотрудник Нат Данлап, который и составил предупреждение. Ошибка связана с тем, что при обработке протокола REST API недостаточно фильтруются спецсимволы командной строки IOS – ОС устройств Cisco. В результате у злоумышленника с минимальными полномочиями появляется возможность дистанционно через веб-интерфейс выполнить инъекцию команд IOS и выполнить их на устройствах, которые контролирует Cisco NDFC.
Любая уязвимость представляет опасность для российских компаний, – заявил читателям TAdviser Алексей Рябинин, ведущий специалист отдела технической защиты конфиденциальной информации Cloud Networks. – Напомню, эта позволяет удаленно прочитать произвольные файлы на сервере, перезаписать чувствительную информацию, уничтожить определенный контейнер, который самостоятельно перезапустится, вызвав незначительный DoS. Так как продукты компании Cisco ранее имели большую популярность, а при реализации проектов в период до 2022 года решения этой компании «импортозамещали» в последнюю очередь, а после 2022, я полагаю, не все еще успели мигрировать с них, то российским компаниям нужно обратить внимание на то, что, возможно, у них сейчас открыта зияющая дыра для злоумышленников. |
Действительно, продукция Cisco до сих пор еще используется на российских предприятиях, слегка прикрытая отечественными межсетевыми экранами. Отказаться от продукции американского вендора оказалось не очень просто.
Продажи оборудования Cisco и лицензий в России не остановились, – заметил в диалоге с TAdviser Константин Горбунов, эксперт по сетевым угрозам, веб-разработчик компании «Код Безопасности». – Возможность приобрести продукты данного вендора у клиентов осталась благодаря получившему популярность в последние годы параллельному импорту, то есть продажи идут не напрямую клиенту, а сперва третьему лицу – компании, на которую не распространяются санкции и другие ограничения. Поэтому ряд организаций, не относящихся к наиболее регулируемым отраслям, по-прежнему используют продукты Cisco, хотя и на свой страх и риск. |
Впрочем, по словам эксперта, популярность продуктов Cisco в России снижается. Еще в 2022 году компания заблокировала некоторые устройства, а также облачные сервисы для клиентов из России, а в 2023 и вовсе приняла решение о ликвидации российского юрлица, попутно уничтожив запасы оборудования на сумму 1,86 млрд рублей. Однако выявление подобных ошибок и невозможность их качественно исправить, поскольку компания отказалась от поддержки российских клиентов, должно заставить пользователей отказаться от уязвимых продуктов. Сама компания написала, что нет другого способа защититься от ошибки, нежели установить соответствующее обновление.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
Однако эксперты самого ФСТЭК рекомендуют в случае невозможности установить обновление выполнить следующие действия:
- использовать средства межсетевого экранирования уровня веб-приложений для предотвращения попыток эксплуатации уязвимости;
- составить и применять для фильтрации соединений «белый» список IP-адресов, с которых пользователи могут получить доступ к платформе;
- отключить или вовсе удалить неиспользуемые учетные записи пользователей;
- использовать виртуальные частные сети для организации удаленного доступа (VPN) к платформе.
Для защиты корпоративных устройств от атак через REST API можно использовать разные подходы и их комбинации, – раскрыл читателям TAdviser подробности защиты веб-приложений Александр Чикайло, ведущий специалист группы экспертизы защиты приложений Positive Technologies. – Прежде всего следует определить допустимый периметр использования устройств. Если они используются только внутри компании, то недопустимо выставлять их в интернет, по крайней мере, напрямую. Как минимум необходима фильтрация доступа по известным IP или сетям. Также стоит использовать корпоративные VPN. Эти меры уже значительно снизят потенциальный риск. |
Кроме этого, при защите REST API Александр Чикайло выделил два случая: самостоятельная разработка приложений или, как в случае с Cisco, использование стороннего продукта. В первом случае необходимо внедрить инструменты и практики безопасной разработки (AppSec) в цикл создания продукта. API не должен быть подвержен рискам безопасности, описанным в OWASP top 10 и OWASP Top 10 API – эта проверка должна проходить в момент тестирования. Видимо, у Cisco такая проверка есть, поскольку ошибку все-таки выявил внутренний тестировщик. Необходимо также обеспечить шифрование коммуникаций во избежание перехвата важной информации посредником, а также своевременно обновлять устройства, чтобы сократить риски компрометации. Во втором же случае, когда устройство должно быть доступно извне и вы не можете влиять на процесс разработки, то необходимо использовать средства защиты класса WAF.
Следует отметить, что сейчас появляются инструменты для обеспечения безопасности работы с API. Они берут на себя обработку внешних запросов к API, проверяют их на корректность и могут, в том числе, отфильтровать даже командные символы. Вполне возможно, что такой инструмент можно будет настроить на фильтрацию инъекций команд операционной системы IOS, что и позволит решить проблему. Однако эффективность такого решения может оказаться ниже замены уязвимых и устаревших устройств Cisco.
Примечания
Подрядчики-лидеры по количеству проектов
Крок (48)
Softline (Софтлайн) (38)
Инфосистемы Джет (33)
Stack Group (Стек Групп, Стек Телеком) (21)
Т1 Интеграция (ранее Техносерв) (19)
Другие (915)
Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (8)
Commvault (5)
Тегрус (Tegrus) ранее - Merlion Projects (3)
Lenovo Россия (3)
Nutanix (бизнес в России) (3)
Другие (53)
Stack Group (Стек Групп, Стек Телеком) (5)
GreenMDC (Грин ЭмДиСи) (3)
Крок Облачные сервисы (3)
Селектел (Selectel) (2)
Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (2)
Другие (26)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
VMware (23, 86)
Cisco Systems (35, 44)
Крок (2, 38)
Крок Облачные сервисы (1, 37)
Dell EMC (35, 28)
Другие (662, 543)
Nutanix (1, 9)
Lenovo (3, 8)
Lenovo Data Center Group (3, 8)
Commvault (2, 5)
Cisco Systems (2, 2)
Другие (28, 29)
Stack Group (Стек Групп, Стек Телеком) (1, 5)
Equinix (1, 5)
Крок (1, 3)
Крок Облачные сервисы (1, 3)
GreenMDC (Грин ЭмДиСи) (1, 3)
Другие (11, 12)
Крок Облачные сервисы (1, 3)
Крок (1, 3)
Next Generation Networks (NGN) (1, 2)
RuBackup (Рубэкап) (1, 1)
UserGate, Юзергейт (ранее Entensys) (1, 1)
Другие (9, 9)
GreenMDC (Грин ЭмДиСи) (1, 2)
RuBackup (Рубэкап) (1, 2)
РСК Технологии (1, 1)
ТрансТелеКом (ТТК) (1, 1)
C3 Solutions (СиТри Солюшнз, Новые Технологии) (1, 1)
Другие (5, 5)
Распределение систем по количеству проектов, не включая партнерские решения
VMware vSphere - 77
Крок: Виртуальный дата-центр (IaaS) - 37
M1Cloud (виртуальный ЦОД) - 22
Oracle Exadata Database Machine - 21
Cisco UCS Unified Computing System (Cisco UCCX) - 18
Другие 460
Nutanix HCI - 9
Lenovo ThinkSystem - 6
Commvault Complete Data Protection - 4
Dell EMC PowerEdge - 2
Softline HaaS: оборудование как сервис - 1
Другие 26
M1Cloud (виртуальный ЦОД) - 5
Крок: Виртуальный дата-центр (IaaS) - 3
GreenMDC Модульный ЦОД - 3
Selectel Выделенные серверы - 2
RSC Cooling Система жидкостного охлаждения - 1
Другие 8