May 21, 2019

Language:

CamSA19-09: កំហុសឆ្គងធ្ងន់ធ្ងរនៅក្នុងផលិតផល Cisco ចំនួន ១៧

១. ព័ត៌មានទូទៅ

នាថ្ងៃទី២០ ខែកុម្ភះ ឆ្នាំ២០១៩ ក្រុមហ៊ុន Cisco បានបញ្ចេញនូវកម្មវិធីជួសជុល (patches) ទៅលើកំហុសឆ្គងចំនួន ១៧ ត្រូវបានរកឃើញនៅក្នុងផលិតផលរបស់ខ្លួន ដែលក្នុងនោះមានកំហុសឆ្គងចំនួន ១១ កម្រិតមធ្យម (Medium) និងចំនួន ០៦​ ធ្ងន់ធ្ងរ (High) ។ វាត្រូវបានគេកត់ត្រាជាលេខកូដ  CVE-2019-1664, CVE-2018-15380, CVE-2019-1681, CVE-2019-1662, CVE-2019-1659 និង CVE-2019-5736

២. ផលិតផលប៉ៈពាល់

Cisco HyperFlex Software ជំនាន់ (កំណែ) 3.5 នឹងមុននេះ

Cisco Network Convergence System ជំនាន់ (កំណែ) 3.5 នឹងមុននេះ

Cisco Network Convergence System 1000 Series ជំនាន់ (កំណែ) 6.5.2 នឹងមុននេះ

Cisco Prime Collaboration Assurance Software (PCA) ជំនាន់ (កំណែ) 12.1 SP2 នឹងមុននេះ

Cisco Prime Infrastructure Certificate ជំនាន់ (កំណែ) 2.2 ដល់ 3.4.0

និងផលិតផលផ្សេងៗជាច្រើនទៀត រងផលប៉ះពាល់ពី Container Privilege Escalation

៣. ផលវិបាក

CVE-2019-1664 – កំហុសឆ្គងនៅក្នុង hxterm service របស់កម្មវិធី Cisco HyperFlex អាចអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់​រំលងការផ្ទៀងផ្ទាត់សិទ្ធិក្នុងប្រព័ន្ធ និងអ្នកប្រើប្រាស់ជាសិទ្ធធម្មតា ប្រហារ ទទួលបានសិទ្ធជាអភិបាលគ្រប់គ្រងទៅលើ node ទាំងអស់ក្នុង HyperFlex cluster។

កំហុសឆ្គងក្នុងការផ្ទៀងផ្ទាត់សិទ្ធរបស់អ្នកប្រើប្រាស់មិនគ្រប់គ្រាន់ (insufficient authentication control) ដែលអ្នកវាយ​ប្រហារធ្វើការភ្ជាប់ទៅកាន់ hxterm service ក្នុងសិទ្ធិជាអ្នកប្រើប្រាស់ធម្មតា (non-privileged, local user)។ ការវាយប្រហារជោគជ័យអាចឱ្យអ្នកវាយប្រហារទទួលបាននូវសិទ្ធជាអភិបាលក្នុងការប្រើប្រាស់គ្រប់ Node ទាំងអស់ក្នុង HyperFlex Cluster។

CVE-2018-15380​ – កំហុសឆ្គងនៅក្នុង cluster service manager របស់កម្មវិធី Cisco HyperFlex អាចអនុញ្ញាតឱ្យ​អ្នកវាយប្រហាររំលងការផ្ទៀងផ្ទាត់សិទ្ធិ ធ្វើការដំណើរការពាក្យបញ្ជាក្នុងសិទ្ធជាអភិបាល ។

កំហុសឆ្គងដោយសារតែមិនមានការផ្ទៀងផ្ទាត់ឱ្យបានត្រឹមត្រូវនូវពាក្យបញ្ជា (input validation) អ្នកវាយប្រហារធ្វើការភ្ជាប់​ទៅកាន់ cluster service manager និងបញ្ចូលពាក្យបញ្ជាចូលក្នុង bound process។ ការវាយប្រហារជោគជ័យអាចឱ្យ​អ្នកវាយប្រហារដំណើរការពាក្យបញ្ជានៅលើម៉ាស៊ីនក្នុងសិទ្ធជាអភិបាល។

CVE-2019-1681 – កំហុសឆ្គងនៅក្នុងកម្មវិធី TFTP របស់កម្មវិធី Cisco Network Convergence System 1000 Series អាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយធ្វើការរំលងការផ្ទៀងផ្ទាត់សិទ្ធិ ហើយទាញយកឯកសារគ្រប់គ្រងប្រព័ន្ធ (arbitrary file) ពីឧបករណ៍ អាចនាំឱ្យមានការបែកធ្លាយទិន្ន័យសំខាន់។

កំហុសឆ្គងដោយសារតែមិនមានការផ្ទៀងផ្ទាត់ឱ្យបានត្រឹមត្រូវ នូវពាក្យបញ្ជារបស់អ្នកប្រើប្រាស់ទៅកាន់កម្មវិធី TFTP ដែល​មានចំនុចខ្សោយ។ អ្នកវាយប្រហារធ្វើការបំបែកចំនុចខ្សោយនេះ តាមរយៈវិធីសាស្ត្រវាយប្រហារ directory traversal ដោយភ្ជាប់ជាមួយកូដមេរោគទៅកាន់កម្មវធី TFTP។ ការវាយប្រហារជោគជ័យអនុញ្ញាតឱ្យអ្នកវាយប្រហារទាញយកឯកសារ​គ្រប់គ្រងប្រព័ន្ធ (arbitrary file) ពីឧបករណ៍ អាចនាំឱ្យមានការបាត់បង់ទិន្នន័យសំខាន់។

CVE-2019-1662 – កំហុសឆ្គងនៅក្នុងកម្មវិធីនៃ Quality of Voice Reporting (QOVR) service នៃកម្មវិធី Cisco Prime Collaboration Assurance (PCA) អាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយធ្វើការរំលងការផ្ទៀងផ្ទាត់សិទ្ធិ​ចូលប្រើប្រព័ន្ធបាន។

កំហុសឆ្គងដោយសារការផ្ទៀងផ្ទាត់សិទ្ធរបស់អ្នកប្រើប្រាស់មិនគ្រប់គ្រាន់ (insufficient authentication control)។ អ្នកវាយប្រហារធ្វើការអាក់សេសសេវាកម្ម QOVR ដោយប្រើប្រាស់ត្រឹមតែឈ្មោះ (valid username)។ ការវាយប្រហារ​ជោគជ័យអនុញ្ញាតឱ្យអ្នកវាយប្រហារដំណើរការសិទ្ធពេញលេញជាឈ្មោះគណនីដែលបានធ្វើការវាយប្រហារ។

CVE-2019-1659 – កំហុសឆ្គងនៅក្នុងមុខងារ Identity Services Engine (ISE) integration នៃកម្មវិធី Cisco Prime Infrastructure (PI) អាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយធ្វើការរំលងការផ្ទៀងផ្ទាត់សិទ្ធិ វាយប្រហារដោយវិធីសាស្ត្រ man-in-the-middle ទៅលើសុវត្ថិភាព Secure Sockets Layer (SSL) សម្រាប់ការពារការភ្ជាប់រវាង ISE និង PI ។

កំហុសឆ្គងដោយសារតែមិនបានផ្ទៀងផ្ទាត់ត្រឹមត្រូវនៃវិញ្ញាបនបត្រ SSL របស់ម៉ាស៊ីនកុំព្យូទ័រមេ នៅពេលដែលមានដំណើរការ SSL នៅក្នុង ISE អ្នកវាយប្រហារអាចកែប្រែវិញ្ញាបនប័ត្រ SSL ហើយធ្វើការលួចតាមដានត្រាហ្វិចរវាង ISE និង PI ។ ការវាយប្រហារជោគជ័យអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចកែប្រែទិន្នន័យសំខាន់នៅលើ ISE ដែលមានតួនាទីកត់ត្រាព័ត៌មាន​របស់ម៉ាស៊ីន Client ភ្ជាប់ទៅកាន់ប្រព័ន្ធបណ្តាញ (Network)។

CVE-2019-5736 – កំហុសឆ្គងនៅក្នុងកម្មវិធី OpenContainer run CLI ដែលប្រើដោយផលិតផលរបស់ Cisco ជាច្រើន អាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយរំលងការផ្ទៀងផ្ទាត់សិទ្ធិ ហើយជ្រៀតចូលទៅក្នុងប្រព័ន្ធដើម្បីទាញយកសិទ្ធិផ្សេងៗ ទៀត។

៤. ការណែនាំ

ការិយាល័យ CamCERT សូមធ្វើការណែនាំដល់អភិបាលគ្រប់គ្រងប្រព័ន្ធ និងអ្នកប្រើប្រាស់ធ្វើការអាប់ដេតទៅលើកម្មវិធី​ខាងលើជា បន្ទាន់ (មកកាន់ជំនាន់ចុងក្រោយ) ។

៥. វេបសាយពាក់ព័ន្ធ

  • https://tools.cisco.com/security/center/publicationListing.x