思科CloudCenter Orchestrator系統曝提權漏洞CVE-2016-9223

思科提醒用戶Cisco CloudCenter Orchestrator系統存在提權漏洞——CVE-2016-9223，可能已經被用於網路攻擊。

Cisco CloudCenter是由CloudCenter Manager和CloudCenter Orchestrator組成的混合雲管理平台。CloudCenter Manager是用戶和管理員使用的界面，而CloudCenter Orchestrator允許建模，部署、管理現有的以及新加入的應用程序。

CVE-2016-9223概述

Cisco CloudCenter Orchestrator（簡稱CCO，之前叫CliQr）的Docker Engine存在漏洞，未經認證的攻擊者也能通過高許可權遠程安裝Docker容器。

此漏洞是由於一個錯誤的配置引起的，導致的結果就是管理Docker Engine的埠可以不通過CloudCenter Orchestrator系統就對

Docker Engine

訪問。

攻擊者可以通過載入Docker容器來利用此漏洞。造成的次要影響是這個漏洞可能會讓攻擊者得到CloudCenter Orchestrator的root許可權。

思科已經放出了修補該漏洞的更新，【點擊閱讀原文】獲得下載鏈接。

受影響產品

很不幸，這個漏洞影響了所有Cisco CloudCenter Orchestrator (CCO)版本，Docker Engine的TCP埠在系統中是處於open狀態的，並且綁定到本地埠0.0.0.0（意味著可以是任何地址）。管理員可以登錄進CCO，輸入

netstat -ant | grep 2375

命令確認埠是否綁定到本地地址0.0.0.0。以下示例顯示了埠2375處於偵聽狀態且本地地址為0.0.0.0的CCO設備

[root@cco ~]# netstat -ant | grep 2375

Proto Recv-Q Send-Q Local Address Foreign

IOC

管理員通過列出所有利用

docker images

下面這個示例展示了一個容器的列表，這裡面包含一個惡意容器叫做badcontainer。

[root@cco ~]#docker images

REPOSITORY TAG IMAGE ID

CREATED VIRTUAL SIZE

badcontainer latest aaaaaaaaaaaa

1 day ago 128.1 MB

cliqr/worker latest 8b5213eb3fa2

2 weeks ago 643.9 MB

[...]

由於此漏洞可能會讓攻擊者利用root許可權進入Cisco CCO軟體，額外的IOC取決於攻擊者的目的。

解決方法

管理員可能通過以下步驟將Docker Engine埠綁定到本地主機（127.0.0.1）

1.輸入su命令觀察sudo許可權

2.使用以下命令輸入系統目錄

cd/etc/systemd /system/

3.使用您選擇的編輯器編輯docker.socket文件，並將ListenStream值更改為以下內容：

ListenStream=127.0.0.1:2375

4.重載：

systemctl daemon-reload && systemctl restart docker

還有就是，管理員可以利用雲安全提供團隊或是私有雲的外部防火牆設備作為思科產品的文件記載來限制CCO Docker Engine的管理埠：

http://docs.cliqr.com/display/CCD46/Phase+2%3A+Configure+Network+Rules

思科聲明

思科產品的安全響應團隊（PSIRT）已經意識到可個漏洞已經被利用在某幾個網路攻擊中了。儘管到現在為止還沒人利用這個漏洞公開一些數據。

參考來源：

cisco

、

securityaffairs

，FB小編bimeover編譯，轉載請註明來自Freebuf.COM