Злоумышленники взломали внутренние серверы Cisco

Злоумышленники взломали ряд внутренних серверов Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) компании Cisco Systems путем эксплуатации критических уязвимостей во фреймворке с открытым исходным кодом SaltStack Salt.

Как сообщили в компании, преступникам удалось скомпрометировать шесть серверов серверной инфраструктуры: us-1.virl.info, us-2.virl.info, us-3.virl.info, us-4.virl.info, vsm. -us-1.virl.info и vsm-us-2.virl.info.

По словам специалистов из Cisco, продукт Cisco Modeling Labs Corporate Edition (CML) также уязвим к атакам, поскольку включает версию SaltStack, на которой запущена уязвимая установка Salt Master («мастер»).

CML позволяет пользователям моделировать устройства Cisco и сторонние устройства, а VIRL-PE позволяет проектировать и тестировать виртуальные сети в среде разработки и тестирования.

Компания Cisco обновила скомпрометированные сервера 7 мая 2020 года и применила исправления, устраняющие уязвимости обхода аутентификации ( CVE-2020-11651 ) и обратного пути в каталогах ( CVE-2020-11652 ), затрагивающие серверы SaltStack.

SaltStack Salt – мощный движок для автоматизации и удаленного выполнения, позволяющий пользователям запускать команды непосредственно на множестве машин. Утилита предназначена для мониторинга и обновления серверов и автоматизирует процесс отправки обновлений ПО и конфигураций из центрального репозитория с помощью «мастер-узла», массово развертывающего изменения на целевых серверах.