转载

思科CloudCenter Orchestrator系统曝提权漏洞CVE-2016-9223

思科提醒用户Cisco CloudCenter Orchestrator系统存在提权漏洞—— CVE-2016-9223 ，可能已经被用于网络攻击。

Cisco CloudCenter是由CloudCenter Manager和CloudCenter Orchestrator组成的混合云管理平台。CloudCenter Manager是用户和管理员使用的界面，而CloudCenter Orchestrator允许建模，部署、管理现有的以及新加入的应用程序。

CVE-2016-9223概述

Cisco CloudCenter Orchestrator（简称CCO，之前叫CliQr）的Docker Engine存在漏洞，未经认证的攻击者也能通过高权限远程安装Docker容器。

此漏洞是由于一个错误的配置引起的，导致的结果就是管理Docker Engine的端口可以不通过CloudCenter Orchestrator系统就对 Docker Engine 访问。攻击者可以通过加载Docker容器来利用此漏洞。造成的次要影响是这个漏洞可能会让攻击者得到CloudCenter Orchestrator的root权限。

思科已经放出了修补该漏洞的更新，【点我】获得下载链接。

受影响产品

很不幸，这个漏洞影响了所有Cisco CloudCenter Orchestrator (CCO)版本，Docker Engine的TCP端口在系统中是处于open状态的，并且绑定到本地端口0.0.0.0（意味着可以是任何地址）。管理员可以登录进CCO，输入 netstat -ant | grep 2375 命令确认端口是否绑定到本地地址0.0.0.0。以下示例显示了端口2375处于侦听状态且本地地址为0.0.0.0的CCO设备

[root@cco ~]# netstat -ant | grep 2375
Proto Recv-Q Send-Q Local Address Foreign
Address (state)
tcp 0 0 0.0.0.0:2375 0.0.0.0:*
LISTEN

IOC

管理员通过列出所有利用 docker images 命令安装到系统的容器，也许能察觉出一个恶意Docker容器。

下面这个示例展示了一个容器的列表，这里面包含一个恶意容器叫做badcontainer。

[root@cco ~]#docker images
REPOSITORY TAG IMAGE ID
CREATED VIRTUAL SIZE
badcontainer latest aaaaaaaaaaaa
1 day ago 128.1 MB
cliqr/worker latest 8b5213eb3fa2
2 weeks ago 643.9 MB
[...]

由于此漏洞可能会让攻击者利用root权限进入Cisco CCO软件，额外的IOC取决于攻击者的目的。