思科的CloudCenter Orchestrator被发现有一个权限升级漏洞。对此，专家Matthew Pascucci解释了它的工作原理，并介绍了企业需要了解的内容。

业界有一个关键的安全公告，是 针对Cisco CloudCenter Orchestrator中的一个漏洞，该漏洞导致Docker Engine管理端口可以在Cloud Orchestrator系统之外访问。这是什么意思，这个漏洞是如何工作的？

此漏洞使未经身份验证的远程攻击者能够将Docker容器安装到系统中，并允许他获得升级的权限，例如root。这一攻击是由于配置错误，导致攻击者可以访问Docker管理端口，并允许他们在管理员不知情的情况下将Docker容器提交到Cisco CloudCenter Orchestrator中。

Docker是开源软件，可让在虚拟化硬件上运行应用程序的多个实例，其灵活可以将这些容器移入云平台，实现高可移植性。这些容器比通常的虚拟机更轻便，并且将在共享类似的库的主机下运行。运行在这些容器中的应用程序可以快速移植到支持它们的主机上。最近披露的关于思科漏洞的问题，意味着在你的CloudCenter Orchestrator中可能还运行着其它的，不是你配置的容器，并且用于恶意目的。

如果攻击者能够将容器插入Cisco CloudCenter Orchestrator，那么他还可以在基础设施上托管恶意软件，并通过硬件进行他所能考虑到的行为。这可能包括托管络钓鱼网站、指挥控制网站或任何其他的恶意用途网站。

思科咨询还提到容器安装的权限很高，这意味着除了安装了不好的Docker容器外，CloudCenter Orchestrator可能做出额外的妥协。思科指出，这还可能会有二次影响，允许攻击者获得系统的root权限。如果发现 你的系统是脆弱的，或者可以轻易剥削，那么你的事件响应计划就需要立即采取行动了。

根据思科说，此漏洞将影响所有版本的Cisco CloudCenter ，使得Docker Engine TCP端口2375打开的、并绑定到本地地址0.0.0.0上。目前，思科其它产品还没有其受此漏洞影响。

思科建议运行netstatantant | grep 2375来验证端口是否打开并绑定到了0.0.0.0。另一个建议是使用docker images命令查看当前在Cisco CloudCenter Orchestrator上安装的运行容器。你可以运行命令docker ps -a来获取所有容器的运行列表。看到结果后，你必须了解环境，以了解攻击者可能插入的结果。

还有一些可能没有支持合同的解决方法。第一个是限制Docker Engine端口绑定到127.0.0.1而不是0.0.0.0。 二是使用外部防火墙设备来过滤对管理端口的访问。

这一安全漏洞 需要尽快修补，思科已经发布了一个修补程序和一个针对该漏洞的咨询工具来帮助修复威胁。