Güvenlik araştırmacıları uyarı vermeye devam et yapılandırma verilerini yetkisiz erişime maruz bırakan kritik bir Cisco güvenlik açığı hakkında.
Cisco Systems geçtiğimiz hafta, SD-WAN vManage yönetim aracının kullanıcılarını, hassas yapılandırma verilerine yetkisiz erişime izin verebilecek kritik bir güvenlik açığı konusunda uyaran bir güvenlik bülteni yayınladı.
CVE-2023-20214 olarak tanımlanan kusur, Cisco SD-WAN vManage yazılımının REST API’si için istek kimlik doğrulamasını etkiliyor.
“Cisco SD-WAN vManage yazılımının REST API’si için istek doğrulama doğrulamasındaki bir güvenlik açığı, kimliği doğrulanmamış, uzak bir saldırganın, etkilenen bir Cisco SD-WAN vManage örneğinin yapılandırmasında okuma izinleri veya sınırlı yazma izinleri kazanmasına izin verebilir.” Cisco uyarısı.
Center for Internet Security (CIS) tarafından hazırlanan bir tehdit değerlendirme raporu, “Şu anda bu güvenlik açığının vahşi ortamda kullanıldığına dair herhangi bir rapor yok” dedi.
Kritik Cisco güvenlik açıkları, bu yıl siber güvenlik haberlerinde düzenli olarak yer alıyor. Mart ayında Cisco, birden çok Cisco ürününü etkileyen güvenlik açıkları için güvenlik önerileri yayınladı.
Uzak bir siber tehdit aktörü, etkilenen bir sistemin kontrolünü ele geçirmek için bu güvenlik açıklarından yararlanabilir.
Mayıs ayında şirket, ağ anahtarlarında toplam dokuz güvenlik açığı keşfetti.
Bu kusurlar, kötü niyetli kişileri rastgele kod yürütme ve kurumsal ağlara yetkisiz erişim elde etme becerisiyle güçlendirme potansiyeline sahiptir.
Kritik Cisco güvenlik açığı ve erişimi
Cisco SD-WAN vManage, kuruluşlar tarafından birden fazla konumda dağıtılmış ağları tasarlamak, dağıtmak ve yönetmek için yaygın olarak kullanılan bulut tabanlı bir çözümdür.
VManage dağıtımları olarak adlandırılan güvenliği ihlal edilmiş bulut sunucuları, merkezi ağ yönetimi, VPN yapılandırması, SD-WAN düzenlemesi, cihaz dağıtımı, politika uygulaması ve daha fazlasında çok önemli bir rol oynar.
Bu kritik Cisco güvenlik açığı, uzak ve kimliği doğrulanmamış saldırganların etkilenen vManage örneklerine özel hazırlanmış API istekleri göndererek bu zayıflıktan yararlanmalarına olanak tanıyan REST API özelliği kullanılırken yetersiz istek doğrulaması nedeniyle ortaya çıktı.
“Bu güvenlik açığından yararlanmak iki olası senaryoyla sonuçlanabilir. Vulnera tarafından hazırlanan bir değerlendirme raporunda, saldırgan, etkilenen Cisco vManage örneğinin yapılandırmasından hassas bilgileri çıkarma yeteneği kazanabilir.
“Alternatif olarak, saldırgan yapılandırmaya bilgi ekleyerek önemli kesintilere neden olabilir. Bu güvenlik açığı, yalnızca REST API’yi etkileyerek web tabanlı yönetim arabirimini ve Komut Satırı Arabirimini (CLI) etkilemediği için özellikle gizlidir.
Başarıyla istismar edilirse, saldırgan, güvenliği ihlal edilmiş sistemde depolanan hassas bilgilere yetkisiz okuma erişimi elde edebilir.
Ayrıca, belirli yapılandırmaları değiştirebilir, ağ işlemlerini bozabilir veya potansiyel olarak diğer kötü amaçlı etkinlikleri yürütebilirler.
Heimdal Security tarafından hazırlanan bir analiz raporuna göre, bu güvenlik açığının yalnızca REST API işlevselliğini etkilediğini ve web tabanlı yönetim arabirimini veya Cisco SD-WAN vManage aracının komut satırı arabirimini (CLI) etkilemediğini not etmek önemlidir.
Kritik Cisco güvenlik açığını yamalamak için şirket, etkilenen Cisco SD-WAN vManage sürümlerinin tüm kullanıcılarına, ağ yapılandırmalarının güvenliğini ve bütünlüğünü sağlamak için kurulumlarını ilgili sabit sürümlere derhal güncellemelerini tavsiye etti.
Yama yönetimi ve kritik Cisco güvenlik açığı
Kritik Cisco güvenlik açığını gidermek için vManage’ın etkilenen sürümleri için yamalar çıktı. Aşağıdaki sürümler etkilenir:
6.3.3 (v20.6.3.4’te düzeltildi)
6.4 (v20.6.4.2’de düzeltildi)
6.5 (v20.6.5.5’te düzeltildi)
9 (v20.9.3.2’de düzeltildi)
10 (v20.10.1.2’de düzeltildi)
11 (v20.11.1.2’de düzeltildi)
Ek olarak, Cisco SD-WAN vManage’ın 20.7 ve 20.8 sürümleri de etkilenmektedir, ancak Cisco bu sürümler için herhangi bir düzeltme yayınlamamaya karar vermiştir. Bu sürümlerin kullanıcılarının, desteklenen farklı bir sürüme geçmeleri şiddetle tavsiye edilir.
Cisco uyarısı, “Bu güvenlik açığını gideren geçici bir çözüm yok” dedi.
“Ancak, bu güvenlik açığını azaltmak ve saldırı yüzeyini önemli ölçüde azaltmak için ağ yöneticileri, vManage örneğine erişimi sınırlamak için erişim kontrol listelerini (ACL’ler) etkinleştirmelidir.”
Bu güvenlik açığının oluşturduğu riski azaltmak için ağ yöneticilerinden belirli güvenlik önlemlerini uygulamaları istenir.
Bunlar arasında, belirtilen IP adreslerine dayalı olarak vManage örneklerine erişimi kısıtlamak için erişim kontrol listelerinin (ACL’ler) kullanılması ve harici saldırganlara maruz kalmanın etkili bir şekilde sınırlandırılması yer alır.
Ayrıca Cisco, sağlam bir güvenlik uygulaması olarak API’lere erişmek için API anahtarlarının kullanılmasını önerir. Zorunlu olmamakla birlikte, tüm vManage uygulamaları için şiddetle tavsiye edilir.
Ağ yöneticileri ayrıca, güvenlik açığından yararlanma olasılığını gösterebileceğinden, REST API’ye erişme girişimleriyle ilgili herhangi bir şüpheli etkinlik için günlükleri proaktif olarak izlemelidir.
Özellikle, vmanage-server.log dosyası, günlük içeriği hakkında bilgi edinmek için “vmanage# show log /var/log/nms/vmanage-server.log” komutu kullanılarak incelenmelidir.