Çeşitli Cisco Küçük İşletme Serisi Anahtarlarda 4’ü kritik olan dokuz güvenlik açığı bulundu.
PoC istismar kodu mevcuttur (ancak herkese açık değildir) ve vahşi ortamda istismar edildiklerine dair herhangi bir gösterge yoktur.
Güvenlik açıkları hakkında
Kritik güvenlik açıkları (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189), anahtarların web tabanlı kullanıcı arabirimi aracılığıyla tetiklenebilir ve kimlik doğrulaması olmadan uzaktaki bir saldırganın savunmasız bir cihazda rasgele kod çalıştırın.
Dokuz kusurun hepsinin kaynağı, web arayüzüne gönderilen isteklerin uygunsuz şekilde doğrulanmasıdır; bu, özel olarak hazırlanmış kötü amaçlı bir isteğin yürütülebileceği anlamına gelir.
Kalan beş güvenlik açığı yüksek risklidir ve saldırganların hizmet reddini (DoS) tetiklemesine veya etkilenen bir cihazdaki yetkisiz bilgileri okumasına olanak tanır.
Dokuz güvenlik açığının tümü, anonim bir harici araştırmacı tarafından rapor edildi ve PoC’lerin de aynı kişi tarafından özel olarak paylaşılmış olması muhtemeldir.
“Güvenlik açıkları birbirine bağlı değil. Güvenlik açıklarından birinin kötüye kullanılması, başka bir güvenlik açığından yararlanmak için gerekli değildir.”
“Ayrıca, güvenlik açıklarından birinden etkilenen bir yazılım sürümü, diğer güvenlik açıklarından etkilenmeyebilir.”
Üretici yazılımını güncelleyin veya cihazları kullanımdan kaldırın
Aşağıdaki cihazlar etkilenir:
- 250 Serisi Akıllı Anahtarlar
- 350 Serisi Yönetilen Switch’ler
- 350X Serisi İstiflenebilir Yönetilen Switch’ler
- 550X Serisi İstiflenebilir Yönetilen Switch’ler
- Business 250 Serisi Akıllı Anahtarlar
- Business 350 Serisi Yönetilen Switch’ler
- Küçük İşletme 200 Serisi Akıllı Anahtarlar
- Küçük İşletme 300 Serisi Yönetilen Anahtarlar
- Küçük İşletme 500 Serisi İstiflenebilir Yönetilen Anahtarlar
220 Serisi Akıllı Anahtarlar ve Business 220 Serisi Akıllı Anahtarlar etkilenmez.
Güvenlik açıklarını giderecek bir geçici çözüm yoktur.
Cisco, bu güvenlik açıklarını gidermek için yazılım güncellemeleri yayınladı, ancak kullanım ömrünün sonuna gelmiş cihazlar için değil: 200, 300 ve 500 Serisi Küçük İşletme Anahtarları.