Transcript Scarica il bollettino PDF

Computer Emergency Response Team
BOLLETTINO IT-CERT.161222.B01
Vulnerabilità critica in Cisco CloudCenter
Orchestrator
(CVE-2016-9223)
Doc.: IT-CERT.161222.B01
ver. 1.0 del 22/12/2016
Pagina 1 di 4
DESCRIZIONE
Cisco CloudCenter è una piattaforma per la gestione di infrastrutture Cloud centrata sulle applicazioni che
consente di distribuire ed installare componenti applicativi, profili di configurazione e dati in diversi data
center di diversi ambienti Cloud pubblici e privati. Il componente Orchestrator è una tecnologia che
consente di astrarre le applicazioni dall’infrastruttura sottostante e rendere trasparente la complessità
delle diverse risorse Cloud. Docker è una piattaforma aperta che consente a sviluppatori e sistemisti di
realizzare, installare ed eseguire applicazioni distribuite in ambienti Cloud.
È stata scoperta una vulnerabilità critica (CVE-2016-9223) nel componente Docker Engine del prodotto
Cisco CloudCenter Orchestrator (CCO) che potrebbe consentire ad un attaccante remoto non autenticato
di installare contenitori di tipo Docker con privilegi elevati su un sistema affetto.
La vulnerabilità è legata ad un’errata configurazione che consente di raggiungere la porta TCP di gestione
del Docker Engine dall’esterno del sistema CCO. Un attaccante potrebbe sfruttare questa vulnerabilità per
caricare contenitori Docker con privilegi arbitrari sul sistema CCO. Se sfruttata con successo, questa
vulnerabilità potrebbe consentire all’attaccante di ottenere i privilegi di root sul sistema affetto.
Questa vulnerabilità potrebbe già essere stata sfruttata in un numero limitato di attacchi reali.
Cisco ha rilasciato aggiornamenti software che risolvono la vulnerabilità nei prodotti interessati. Sono
altresì disponibili soluzioni alternative per mitigare questa vulnerabilità.
SOLUZIONE
La vulnerabilità descritta in questo bollettino è stata risolta in Cisco CloudCenter Orchestrator (CCO)
versione 4.6.2.
I gestori di sistemi Cisco CloudCenter devono installare l’aggiornamento relativo alla propria piattaforma,
dopo appropriato testing.
Come soluzione alternativa per mitigare questa vulnerabilità, è possibile restringere l’accesso alla porta del
Docker Engine (porta TCP 2375) a localhost (127.0.0.1).
Per maggiori informazioni sui prodotti vulnerabili, sugli aggiornamenti disponibili e sulle misure di
mitigazione, si raccomanda di consultare il relativo bollettino di sicurezza di Cisco (si veda la sezione LINK
UTILI).
Doc.: IT-CERT.161222.B01
ver. 1.0 del 22/12/2016
Pagina 2 di 4
SISTEMI
La vulnerabilità CVE-2016-9223 affligge tutte le versioni del prodotto Cisco CloudCenter Orchestrator (CCO)
nelle configurazioni in cui la porta del Docker Engine (porta TCP 2375) è in ascolto sul sistema e associata
per impostazione predefinita all’indirizzo locale 0.0.0.0 (tutti gli indirizzi IPv4 configurati sulla macchina
locale).
LINK UTILI
Avviso del produttore
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161221-cco
Mitre CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9223
Doc.: IT-CERT.161222.B01
ver. 1.0 del 22/12/2016
Pagina 3 di 4
VALUTAZIONE CVSS
Relativamente alla valutazione della severity come metrica di base - da intendersi quale livello di
pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i
parametri che concorrono al calcolo della Base Score secondo lo standard CVSS v.2 (Common Vulnerabilities
Scoring System), avvalendosi del tool messo a disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm).
Nello specifico, sulla base di informazioni preliminari soggette ad aggiornamento, sono stati raggiunti i
seguenti punteggi su una scala da 0 a 10.



CVSS Base Score 9,3
Impact Subscore 10
Exploitability Subscore 8,6
NOTE
Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi.
In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio,
responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto,
incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino.
La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento
della pubblicazione.
Doc.: IT-CERT.161222.B01
ver. 1.0 del 22/12/2016
Pagina 4 di 4