思科CloudCenter Orchestrator系统曝提权漏洞CVE-2016-9223
思科CloudCenter Orchestrator系统曝提权漏洞CVE-2016-9223
思科提醒用户Cisco CloudCenter Orchestrator系统存在提权漏洞——CVE-2016-9223,可能已经被用于网络攻击。
Cisco CloudCenter是由CloudCenter Manager和CloudCenter Orchestrator组成的混合云管理平台。CloudCenter Manager是用户和管理员使用的界面,而CloudCenter Orchestrator允许建模,部署、管理现有的以及新加入的应用程序。
CVE-2016-9223概述
Cisco CloudCenter Orchestrator(简称CCO,之前叫CliQr)的Docker Engine存在漏洞,未经认证的攻击者也能通过高权限远程安装Docker容器。
此漏洞是由于一个错误的配置引起的,导致的结果就是管理Docker Engine的端口可以不通过CloudCenter Orchestrator系统就对Docker Engine访问。
攻击者可以通过加载Docker容器来利用此漏洞。造成的次要影响是这个漏洞可能会让攻击者得到CloudCenter Orchestrator的root权限。
思科已经放出了修补该漏洞的更新,【点击阅读原文】获得下载链接。
受影响产品
很不幸,这个漏洞影响了所有Cisco CloudCenter Orchestrator (CCO)版本,Docker Engine的TCP端口在系统中是处于open状态的,并且绑定到本地端口0.0.0.0(意味着可以是任何地址)。管理员可以登录进CCO,输入netstat -ant | grep 2375命令确认端口是否绑定到本地地址0.0.0.0。以下示例显示了端口2375处于侦听状态且本地地址为0.0.0.0的CCO设备
[root@cco ~]# netstat -ant | grep 2375Proto Recv-Q Send-Q Local Address Foreign Address (state) tcp 0 0 0.0.0.0:2375 0.0.0.0:* LISTEN
IOC
管理员通过列出所有利用docker images命令安装到系统的容器,也许能察觉出一个恶意Docker容器。
下面这个示例展示了一个容器的列表,这里面包含一个恶意容器叫做badcontainer。
[root@cco ~]#docker imagesREPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZEbadcontainer latest aaaaaaaaaaaa 1 day ago 128.1 MBcliqr/worker latest 8b5213eb3fa2 2 weeks ago 643.9 MB[...]
由于此漏洞可能会让攻击者利用root权限进入Cisco CCO软件,额外的IOC取决于攻击者的目的。
解决方法
管理员可能通过以下步骤将Docker Engine端口绑定到本地主机(127.0.0.1)
1.输入su命令观察sudo权限 2.使用以下命令输入系统目录 cd/etc/systemd /system/ 3.使用您选择的编辑器编辑docker.socket文件,并将ListenStream值更改为以下内容: ListenStream=127.0.0.1:2375 4.重载: systemctl daemon-reload && systemctl restart docker
还有就是,管理员可以利用云安全提供团队或是私有云的外部防火墙设备作为思科产品的文件记载来限制CCO Docker Engine的管理端口:
http://docs.cliqr.com/display/CCD46/Phase+2%3A+Configure+Network+Rules
思科声明
思科产品的安全响应团队(PSIRT)已经意识到可个漏洞已经被利用在某几个网络攻击中了。尽管到现在为止还没人利用这个漏洞公开一些数据。
参考来源:cisco、securityaffairs,FB小编bimeover编译,转载请注明来自Freebuf.COM