Kerentanan keamanan telah ditemukan di peralatan Cisco yang digunakan di pusat data, perusahaan besar, pabrik industri, pembangkit listrik, pusat manufaktur, dan jaringan listrik kota pintar yang dapat memungkinkan penyerang siber mengakses perangkat ini dan jaringan yang lebih luas.
.
.
Dalam sebuah laporan yang diterbitkan pada 1 Februari, para peneliti dari Trellix mengungkapkan bug tersebut, salah satu dari dua kerentanan yang ditemukan yang memengaruhi perangkat jaringan Cisco berikut:
.
.
- Cisco ISR 4431 router
- ISR Industri Seri 800
- Modul Komputasi CGR1000
- Gateway Komputasi Industri IC3000
- Perangkat berbasis IOS XE yang dikonfigurasi dengan IOx
- Router Industri IR510 WPAN
- Titik Akses Katalis Cisco
Satu bug — CSCwc67015 — terlihat dalam kode yang belum dirilis. Ini bisa memungkinkan peretas untuk mengeksekusi kode mereka sendiri dari jarak jauh, dan berpotensi menimpa sebagian besar file di perangkat.
.
Bug kedua, bisa dibilang lebih jahat, — CVE-2023-20076 — ditemukan di peralatan produksi, adalah cacat injeksi perintah yang dapat membuka pintu ke akses tingkat root yang tidak sah dan eksekusi kode jarak jauh (RCE). Ini tidak hanya memerlukan kontrol total atas sistem operasi perangkat tetapi juga kegigihan melalui peningkatan atau reboot apa pun, meskipun Cisco pagar pembatas terhadap skenario seperti itu.
.
Kedua kerentanan tersebut merupakan produk sampingan dari pergeseran sifat teknologi perutean, menurut Trellix. Administrator jaringan saat ini memiliki kemampuan untuk menyebarkan kontainer aplikasi atau bahkan seluruh mesin virtual pada miniatur-server-router ini. Dengan kompleksitas yang lebih besar ini muncul fungsionalitas yang lebih besar, dan permukaan serangan yang lebih luas.
.
.
Bug kedua, bisa dibilang lebih jahat, — CVE-2023-20076 — ditemukan di peralatan produksi, adalah cacat injeksi perintah yang dapat membuka pintu ke akses tingkat root yang tidak sah dan eksekusi kode jarak jauh (RCE). Ini tidak hanya memerlukan kontrol total atas sistem operasi perangkat tetapi juga kegigihan melalui peningkatan atau reboot apa pun, meskipun Cisco pagar pembatas terhadap skenario seperti itu.
.
Kedua kerentanan tersebut merupakan produk sampingan dari pergeseran sifat teknologi perutean, menurut Trellix. Administrator jaringan saat ini memiliki kemampuan untuk menyebarkan kontainer aplikasi atau bahkan seluruh mesin virtual pada miniatur-server-router ini. Dengan kompleksitas yang lebih besar ini muncul fungsionalitas yang lebih besar, dan permukaan serangan yang lebih luas.
.
"Router modern sekarang berfungsi seperti server bertenaga tinggi," penulis laporan menjelaskan, "dengan banyak port Ethernet yang berjalan tidak hanya perangkat lunak perutean tetapi, dalam beberapa kasus, bahkan beberapa kontainer."
Baik CSCwc67015 dan CVE-2023-20076 muncul dari lingkungan hosting aplikasi canggih router.
.
.
CSCwc67015 mencerminkan bagaimana, di lingkungan hosting, "aplikasi yang dikemas dengan jahat dapat melewati pemeriksaan keamanan penting saat membuka kompresi aplikasi yang diunggah." Pemeriksaan tersebut berusaha mengamankan sistem terhadap kerentanan traversal jalur berusia 15 tahun dalam modul Python yang telah diidentifikasi Trellix sendiri september lalu, CVE-2007-4559. Dengan skor CVSS v3 "moderat" 5,5, ini memungkinkan aktor jahat untuk menimpa file sewenang-wenang.
.
.
Sementara itu, bug yang dilacak sebagai CVE-2023-20076 juga memanfaatkan kemampuan untuk menyebarkan kontainer aplikasi dan mesin virtual ke router Cisco. Dalam hal ini, ini ada hubungannya dengan bagaimana admin meneruskan perintah untuk menjalankan aplikasi mereka.
.
.
"Opsi 'DHCP Client ID' dalam Pengaturan Antarmuka tidak dibersihkan dengan benar," para peneliti menemukan, yang memungkinkan mereka akses tingkat root ke perangkat, berkonotasi "kemampuan untuk menyuntikkan perintah OS apa pun yang kami pilih."
.
.
Seorang peretas yang menyalahgunakan kekuatan ini "dapat memiliki dampak signifikan pada fungsionalitas perangkat dan keamanan jaringan secara keseluruhan," jelas Quinn, termasuk "memodifikasi atau menonaktifkan fitur keamanan, mengeksfiltrasi data, mengganggu lalu lintas jaringan, menyebarkan malware, dan menjalankan proses nakal."
.
.
Namun, kabar buruknya tidak berakhir di situ. Para penulis laporan menyoroti bagaimana "Cisco sangat memprioritaskan keamanan dengan cara yang mencoba mencegah serangan agar tidak menjadi masalah melalui reboot dan reset sistem." Namun, dalam video proof-of-concept, mereka menunjukkan bagaimana eksploitasi bug injeksi perintah dapat menyebabkan akses yang sama sekali tidak terkekang, memungkinkan wadah berbahaya untuk bertahan melalui reboot perangkat atau peningkatan firmware. Ini hanya menyisakan dua solusi yang mungkin untuk dihapus: reset pabrik penuh atau secara manual mengidentifikasi dan menghapus kode berbahaya.
