Cisco Systems выпустила бесплатное обновление для модуля CloudCenter Orchestrator, устранив критическую уязвимость, позволяющую получить права суперпользователя. Разработчик также указал временное решение проблемы.

«Данная уязвимость вызвана ошибкой в конфигурации, из-за которой порт управления движка Docker Engine оказался доступным за пределами системы CloudCenter Orchestrator, — гласит бюллетень Cisco. — Атакующий сможет осуществить эксплойт этой уязвимости, загрузив в уязвимую систему контейнеры Docker с любыми привилегиями».

Система управления CloudCenter Orchestrator позволяет развертывать приложения в различных дата-центрах и облачных сервисах, а также осуществлять администрирование. Проект с открытым исходным кодом Docker облегчает автоматизацию развертывания Linux-приложений, обеспечивая управление контейнерами, в которых исполняется код, системные инструменты и библиотеки хост-системы.

«Недочет в конфигурации Docker Engine, реализованного в CloudCenter Orchestrator (CCO, ранее CliQr), позволяет удаленному неаутентифицированному злоумышленнику установить контейнер Docker в уязвимую систему с высокими привилегиями», — сказано в бюллетене Cisco.

По словам разработчика, уязвимости подвержены все установки CloudCenter Orchestrator с открытым TCP-портом 2375 Docker Engine, привязанным к локальному адресу 0.0.0.0 (любому интерфейсу). «Удостовериться, что порт открыт и привязан к локальному адресу 0.0.0.0, администратор сможет, войдя в CCO и подав команду netstat -ant | grep 2375», — говорится в бюллетене.

Проверку на наличие вредоносных контейнеров Docker можно осуществить с помощью команды docker images, выводящей список контейнеров, установленных в системе. Вредоносный контейнер в этом списке будет помечен как badcontainer. «Поскольку эта уязвимость открывает доступ уровня root к Cisco CCO, может также иметь место дополнительный индикатор компрометации», — пишет разработчик.

Кроме ссылки на страницу загрузки патча в бюллетене также приведены рекомендации по альтернативной защите. Одной из таких мер является ограничение привязки порта Docker Engine адресом локальной хост-системы (127.0.0.1).

Перед установкой корректирующего выпуска CloudCenter Orchestrator 4.6.2 Cisco советует удостовериться в наличии адекватного свободного места на диске.

Категории: Уязвимости