Администраторы Cisco спешно устраняют критическую уязвимость переполнения флэш-памяти в более чем 200 моделях точек доступа (AP) на базе Cisco Systems IOS XE, вызванную недавним сбоем в обновлении программного обеспечения.
Если проблему не исправить быстро, память точки доступа будет настолько переполнена, что новые обновления ПО будут заблокированы, а сама точка доступа станет небезопасной или даже выйдет из строя (будет «закирпичена»).
Проблемное обновление библиотеки вызывает рост определенного файла журнала во флэш-памяти затронутых точек доступа примерно на 5 МБ в день. Со временем, как заявила Cisco в консультативном уведомлении на этой неделе, это может занять «большую часть» доступного места в памяти.
«Чем дольше точка доступа работает с затронутым ПО, тем выше вероятность того, что загрузка программного обеспечения завершится неудачей из-за недостатка места», — говорится в уведомлении.
Аналитик Роб Эндерл (Rob Enderle) из Enderle Group отметил, что «ошибочные журналы» — распространенный мотив в сетевых технологиях. Однако он добавил, что «этот конкретный случай опасен, поскольку он затрагивает физические ограничения флэш-памяти на оборудовании, к которому, как известно, трудно получить доступ после того, как оно выйдет из строя или войдет в цикл загрузки. В мире сетей это событие с высоким уровнем воздействия и средней редкостью».
Он пояснил: «Уникальность этого в том, что создается ситуация «Уловка-22». Чтобы исправить ошибку, необходимо обновить программное обеспечение. Однако сама ошибка не позволяет устройству иметь достаточно места для загрузки исправления. Если администратор будет ждать слишком долго, может потребоваться ручное физическое вмешательство, или устройство может навсегда застрять в цикле загрузки».
Йоханнес Ульрих (Johannes Ullrich), декан по исследованиям в SANS Institute, назвал эту конкретную проблему необычной, хотя и признал, что пространство флэш-памяти в IoT-устройствах, таких как точки доступа, ограничено и время от времени может заполняться.
«Но, — добавил он, — есть и более серьезная проблема: компетентная программа управления уязвимостями [поставщика] всегда должна включать проверку того, что исправление было применено должным образом. Есть много причин, по которым исправление может быть применено некорректно, и это лишь один из способов, которым исправление может не сработать».
Келман Мегу (Kellman Meghu), технический директор фирмы по реагированию на инциденты DeepCove Cybersecurity, заявил, что переполнение памяти фиксированного устройства из-за ошибки «вызвало бы у меня сильное раздражение в адрес этого поставщика. По моему опыту, это очень редко и было проблемой в те времена, когда стоимость хранения данных имела значение. Я ожидал бы, что мой поставщик сможет очищать и управлять хранилищем для фиксированных устройств. Если это устройство поддерживается, это вопрос RMA [авторизации на возврат товара] или исправления, и ожидание [действий от поставщика] должно быть немедленным/проактивным».
[Связанный контент:Уязвимость Cisco Webex SSO]
Затронуты точки доступа, работающие под управлением версий IOS XE 17.12.4, 17.12.5, 17.12.6 и 17.12.6a. К ним относятся точки доступа серии Cisco Catalyst 9130AX, а также модели 9130AX со стадионной антенной, серии Catalyst 91361, 91621, 9163E, 91641, 9166D1 и IW9167, а также наружные точки доступа Wi-Fi 6.
У администраторов есть два способа решить проблему: загрузить инструмент Cisco под названием WLANPoller, который автоматизирует выполнение исправления на нескольких точках доступа, или вручную использовать команду show boot на каждом устройстве, чтобы проверить раздел загрузки и убедиться, что в нем достаточно места для обновления. Более подробная информация о необходимых действиях содержится в консультативном уведомлении Cisco.
Cisco заявляет, что обязательную предварительную проверку состояния точки доступа следует проводить как можно ближе к запланированному окну обслуживания. Но поскольку затронутый файл журнала растет ежедневно, Эндерл сказал: «Вы точно не хотите ждать отказа [точки доступа]».
Ручное исправление, вероятно, займет 5–10 минут активной работы на одну точку доступа, предупредил он, плюс еще 15–20 минут для проверки того, что исправление принято, если у точки доступа есть место для обновления. Но если у точки доступа есть проблемы с местом, время на устройство может увеличиться до 20–45 минут.
А если точка доступа уже вышла из строя, то исправление займет от одного до двух часов, добавил он, и потребуется физический доступ к устройству.
Использование WLANPoller ускорит процесс, добавил он.
Эндерл отметил, что если администратор обнаружит точку доступа, флэш-память которой уже слишком заполнена для обновления, перезагрузка иногда очищает временные буферы или предоставляет небольшое окно для ручной передачи. Однако при этой конкретной ошибке журнала перезагрузка может быть недостаточной, если файл является постоянным. Администраторам следует связаться с Cisco для получения аварийного скрипта очистки, прежде чем пытаться массово применять исправления, сказал он.
В конечном счете, по мнению Эндерла, распространение ошибочного обновления является проблемой целостности цепочки поставок. Руководителям по безопасности (CSO) следует спросить свои команды: «Осуществляем ли мы мониторинг аппаратных метрик работоспособности (ЦП, ОЗУ, флэш) или только статуса «Включено/Выключено»?» Точка доступа, которая включена, но имеет 0 МБ свободной флэш-памяти, является обузой, сказал он.
CSO следует рассматривать эту уязвимость как критический риск для доступности, добавил он. «Хотя это и не утечка данных, потенциал общесетевого сбоя Wi-Fi (из-за неудачных автоматических обновлений или циклов загрузки) может остановить работу бизнеса», — отметил он, добавив, что CSO также должны обеспечить политику, согласно которой даже «незначительные обновления библиотек» тестируются в лабораторной среде в течение семи-четырнадцати дней. «Этот рост журнала на 5 МБ/день, вероятно, был бы обнаружен в лаборатории до того, как он затронул бы производственный парк из 5000 точек доступа», — сказал Эндерл.
Эта статья изначально появилась на NetworkWorld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
