Podatność w mechanizmie Zero Touch Provisioning (ZTP) systemów Arista CloudVision (wdrożenia lokalne: wirtualne i fizyczne) umożliwia nieuwierzytelnionemu atakującemu uzyskanie uprawnień administratora. Krytyczny poziom zagrożenia wynika z braku wymagań dotyczących uwierzytelnienia, szerokiego zakresu przyznawanych uprawnień oraz możliwości manipulowania zarządzanymi urządzeniami sieciowymi.
▸ Pokaż oryginał (EN)
On Arista CloudVision systems (virtual or physical on-premise deployments), Zero Touch Provisioning can be used to gain admin privileges on the CloudVision system, with more permissions than necessary, which can be used to query or manipulate system state for devices under management. Note that CloudVision as-a-Service is not affected.
Mechanizm Zero Touch Provisioning, przeznaczony do automatycznego konfigurowania urządzeń sieciowych bez interwencji administratora, może zostać nadużyty przez atakującego sieciowego bez jakiegokolwiek uwierzytelnienia. Wykorzystując ZTP, napastnik uzyskuje uprawnienia administracyjne na systemie CloudVision — szersze niż jest to niezbędne do normalnego działania (CWE-269: Improper Privilege Management). Podatność dotyczy wyłącznie wdrożeń lokalnych (on-premise) — zarówno fizycznych, jak i wirtualnych; usługa CloudVision as-a-Service nie jest podatna.
Atakujący uzyskuje nadmierne uprawnienia administracyjne na systemie CloudVision, co pozwala mu na odczytywanie oraz modyfikowanie stanu systemu i konfiguracji wszystkich urządzeń sieciowych pozostających pod zarządzaniem tej platformy. Może to prowadzić do pełnej kompromitacji zarządzanej infrastruktury sieciowej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (Security Advisory 0115 opublikowane przez Arista Networks pod adresem https://www.arista.com/en/support/advisories-notices/security-advisory/21315-security-advisory-0115). Zaleca się również rozważenie ograniczenia dostępu sieciowego do interfejsów ZTP oraz CloudVision wyłącznie do zaufanych segmentów sieci do czasu zastosowania aktualizacji.
Arista CloudVision — wdrożenia lokalne (on-premise), zarówno fizyczne, jak i wirtualne. Usługa CloudVision as-a-Service (chmurowa) nie jest podatna. Szczegółowe wykazy wersji produktu dostępne są w referencjach producenta.
Podatność posiada maksymalny wynik CVSS 10.0 przy wektorze wskazującym na brak wymagań dotyczących uwierzytelnienia (PR:N), brak interakcji użytkownika (UI:N) oraz zmianę zakresu (S:C). Producent (Arista Networks) jednoznacznie wskazuje, że wdrożenia CloudVision as-a-Service są bezpieczne i podatność ich nie dotyczy.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N