Viacero zraniteľností v Cisco Catalyst SD-WAN svete

Jakub Kubica

Systems Engineer

Nedávno bolo objavených viacero zraniteľnosti v Cisco Catalyst SD-WAN Manager, niektoré z nich umožňujú neautorizovaný prístup na kontrolér. 

Catalyst SD-WAN Manager, inými slovami vManage, zabezpečuje centralizovaný manažment smerovačov v sieti. Ponúka možnosti centralizovanej správy: konfigurácie, upgradov a monitoringu.

Cisco publikovalo záplaty pre dane zraniteľnosti opísané nižšie. V prípade otázok alebo záujmu o pomoc s nasadeným záplat nás neváhajte kontaktovať.

CVE-2023-20252(CVSS 9,8): Zraniteľnosť týkajúca sa získania neautorizovaného prístupu do Cisco Catalyst SD-WAN Managera. Umožňuje ju nedostatočná kontrola SAML APIs. 

Ovplyvnené verzie:

  • 20.9.3.2
  • 20.11.1.2

CVE-2023-20253(CVSS 5,5): Zraniteľnosť umožňujúca neautorizovaný rollback konfigurácie. Útočník však musí byť autentifikovaný. (Mať minimálne read-only práva na Manager)

Ovplyvnené verzie:

  • Pred 20.6.
  • 20.7 pred 20.7.1
  • 20.8 pred 20.8.1
  • 20.9 pred 20.9.1
  • 20.10 pred 20.10.1
  • 20.11 pred 20.11.1

CVE-2023-20034(CVSS 7,5): Zraniteľnosť umožňujúca nadobudnúť informácie z SD-WAN Managera. Útočník musí byť autentifikovaný. Následne vie nadobudnúť informácie z iných tenantov, realizovať konfiguračné zmeny a dosiahnuť DoS tentantu.

Ovplyvnené verzie:

  • Pred 20.3.4
  • 20.4 skôr než 20.6.1
  • 20.7 pred 20.7.1

CVE-2023-20262(CVSS 7,5): Zraniteľnosť SD-WAN Manager umožňujúca DoS pre SSH službu.

Ovplyvnené verzie:

  • Pred 20.3.7
  • 20.4 pred 20.9.3
  • 20.11 pred 20.11.1
  • 20.12 pred 20.12.1

CVE-2023-20254(CVSS 8,8): Zraniteľnosť umožňujúca nadobudnúť prístup do iného tentantu v rámci SD-WAN Managera. Útočník musí byť pretým autentifikovaný v nejakom tentante.

Ovplyvnené verzie:

  • Pred 20.6.3.4
  • 20.7 pred 20.9.3.2
  • 20.10 pred 20.10.1.2
  • 20.11 pred 20.11.1.2

Ďalšia zraniteľnosť, ktorá púta pozornosť posledné dni je CVE-2023-20109. Táto zraniteľnosť sa týka Cisco IOS a IOS XE platforiem. Útočník vie využiť chybu zabezpečenia, ktorá je spôsobená nedostatočným overením atribútov v protokoloch GDOI a G-IKEv2 pre nasadenie GET VPN.