Cisco Umbrella VA - Static SSH host key

Proto: N020422.

Con la presente CERT-Yoroi desidera informarla riguardo una grave vulnerabilità su Cisco Umbrella, nota con identificativo CVE-2022-20773.

Il sistema di autenticazione SSH nel Cisco Umbrella Virtual Appliance (VA) utilizza una chiave host statica, la quale permette ad un attaccante remoto non autenticato di impersonare un VA. L'attaccante, all'interno della rete, può effettuare un attacco di tipo man-in-the-middle per intercettare le credenziali amministrative.

Ottenuto l'accesso completo al Virtual Appliance, l'attaccante può, di conseguenza, modificare le configurazioni, inserendo in whitelist domini arbitrari, o causare disservizi nella risoluzione DNS limitando la connettività interna di una rete aziendale.

Il vendor precisa che l'accesso in SSH non è abilitato di default su Umbrella VA, nel bollettino di sicurezza specifica inoltre che la vulnerabilità affigge sia VMWare ESXi che Hyper-V con una versione del software precedente a 3.3.2.

A questo proposito, Yoroi suggerisce di verificare se sia abilitato SSH nelle proprie istanze Umbrella VA e di installare al più presto gli aggiornamenti di sicurezza forniti dal vendor.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index