思科SDS-WAN管理曝(pù)高危漏洞(dònɡ)

發布時(shí)間 2023-07-18

近日,思科發布(bù)安全報告(ɡào)稱,已經解決了一(yī)個關鍵的(de)未經認證的RESTAPI訪問漏洞(dònɡ),漏洞編號CV-2023-20214(cvss得分(fēn)9.1)。該漏洞(dònɡ)會影響思(sī)科SDS-WAN管理軟件(jiàn),允許攻擊者發(fā)起遠程攻(ɡōnɡ)擊,并且(qiě)可以獲得(dé)設備的讀寫權限或(huò)限制寫入(rù)權限。

SD-WAN是近(jìn)幾年推出(chū)的新方案(àn),正在(zài)成為未來的發展趨勢之一。SD-WAN,即軟件(jiàn)定義廣域網絡,是將SDN技(jì)術應用到(dào)廣域網場景中所形(xínɡ)成的一種服務。這種服務用于連接廣闊地理(lǐ)范圍的企業網絡、數據中心、互聯網應用及云服(fú)務,旨(zhǐ)在幫助用(yònɡ)戶降低廣(ɡuǎnɡ)域網的開支和提高(ɡāo)網絡連接靈活性。

思科安全(quán)公告稱,該漏(lòu)洞是由于(yú)使用其他(tā)API特(tè)性時請求(qiú)驗證不足(zú)。攻擊者可以通(tōnɡ)過向受影(yǐnɡ)響的SD-WAN管理設備發送精心(xīn)制作的API請求(qiú)來利用這個漏洞,并從設備中獲(huò)取敏感信(xìn)息。

思科進一(yī)步強調,該漏洞(dònɡ)安全性缺(quē)陷只會影(yǐnɡ)響其他API,不會影響基于網絡的管理界(jiè)面或CLI。受影響的SD-WAN管(ɡuǎn)理版本如(rú)下:

  • v20.6.3.3 – fixed with the release v20.6.3.4

  • v20.6.4 – fixed with the release v20.6.4.2

  • v20.6.5 – fixed with the release v20.6.5.5

  • v20.9 – fixed with the release v20.9.3.2

  • v20.10 – fixed with the release v20.10.1.2

  • v20.11 – fixed with the release v20.11.1.2

從思科發(fā)布的安全(quán)報告可以(yǐ)得知,SD-WAN管理版本(běn)20.7和20.8也會遭(zāo)受影響,對于這些版(bǎn)本的更新(xīn),思考(kǎo)建議用戶遷移至固(ɡù)定版本。

思科建議企業網絡管理員通(tōnɡ)過以下方(fānɡ)式減少攻(ɡōnɡ)擊面:

  • 使用訪問(wèn)控制列表(biǎo)(ACLS)限制(zhì)對SD-WAN管(ɡuǎn)理實例的(de)訪問;

  • 使用API鍵訪問(wèn)API;

  • 檢查日志(zhì),以檢測訪問其他API的嘗(chánɡ)試。