Cisco SD-WAN vManage yazılımının REST API’si için istek kimlik doğrulama doğrulamasında kritik düzeyde bir güvenlik açığı tespit edildi. Cisco, kullanıcıları CVE-2023-20214 kritik güvenlik açığına karşı uyaran bir güvenlik uyarısı yayınladı.
Bu, kimliği doğrulanmamış uzak bir saldırganın, etkilenen bir Cisco SD-WAN vManage örneğinin yapılandırmasına okuma erişimi veya kısıtlı yazma izinleri almasına izin verebilir.
“Bu güvenlik açığı, REST API özelliği kullanılırken yetersiz istek doğrulamasından kaynaklanmaktadır. Bir saldırgan, etkilenen bir vManage örneğine hazırlanmış bir API isteği göndererek bu güvenlik açığından yararlanabilir”, Cisco danışma belgesini okur.
Bu sorunu çözmek için Cisco’dan yazılım yamaları kullanıma sunulmuştur. Bu zayıflığın geçici çözümü yoktur.
Kritik Önem Derecesindeki Güvenlik Açığının Ayrıntıları
Cisco SD-WAN vManage API, bir bindirme ağındaki Cisco cihazlarını kontrol etmek, yapılandırmak ve izlemek için kullanılan bir REST API’sidir. vManage API aşağıdaki kullanım durumlarına sahiptir:
- Cihaz durumunu izleme
- Bir cihaza şablon eklemek gibi bir cihazı yapılandırma
- Cihaz istatistiklerini sorgulama ve toplama
Güvenlik açığı bulunan vManage örneklerine özel olarak oluşturulmuş bir API isteği göndererek, REST API özelliği kullanılırken yetersiz istek doğrulamasından kaynaklanan kusurdan yararlanılabilir.
Saldırganlar, güvenliği ihlal edilmiş makineden gizli bilgileri alabilir, belirli yapılandırmaları değiştirebilir, ağ etkinliklerini durdurabilir ve daha fazlasını yapabilir.
Cisco, “Başarılı bir istismar, saldırganın etkilenen Cisco vManage örneğinden bilgi almasına ve bu örneğin yapılandırmasına bilgi göndermesine izin verebilir.”
“Bu güvenlik açığı yalnızca REST API’yi etkiler ve web tabanlı yönetim arayüzünü veya CLI’yi etkilemez.”
Etkilenen Ürünler
Bu kusur, Cisco SD-WAN vManage yazılımının savunmasız sürümlerini etkiler.
Etkilenmeyen Ürünler
Cisco’ya göre aşağıdaki Cisco ürünleri bu güvenlik açığından etkilenmez:
- iOS XE
- IOS XE SD-WAN
- SD-WAN cEdge Yönlendiriciler
- SD-WAN vBond Orchestrator Yazılımı
- SD-WAN vEdge Bulut Yönlendiricileri
- SD-WAN vEdge Yönlendiriciler
- SD-WAN vSmart Denetleyici Yazılımı
Azaltma
Cisco’ya göre, bu güvenlik açığı için geçici bir çözüm yok, ancak saldırı yüzeyini önemli ölçüde azaltacak teknikler var.
vManage örneklerine erişimi yalnızca belirli IP adresleriyle sınırlayan kontrol erişim listelerinin (ACL’ler), dış saldırganları dışarıda tutmanın bir yolu olarak ağ yöneticileri tarafından kullanılması teşvik edilir.
API’lere erişmek için API anahtarlarını kullanmak, bir başka güçlü güvenlik adımıdır; vManage uygulamaları için katı bir gereklilik olmasa da Cisco genellikle bunu önerir.
Yöneticilere ayrıca, güvenlik açığından yararlanıldığına dair bir işaret olabilecek, REST API’yi kullanma girişimlerine karşı günlükleri takip etmeleri söylenir.
vmanage-server.log dosyasının içeriğini incelemek için “vmanage# show log /var/log/nms/vmanage-server.log” komutunu kullanın.
Mevcut Düzeltmeler
- v20.6.3.3 – v20.6.3.4’te düzeltildi
- v20.6.4 – v20.6.4.2’de düzeltildi
- v20.6.5 – v20.6.5.5’te düzeltildi
- v20.9 – v20.9.3.2’de düzeltildi
- v20.10 – v20.10.1.2’de düzeltildi
- v20.11 – v20.11.1.2’de düzeltildi
| Cisco SD-WAN vManage Sürümü | İlk Sabit Yayın |
| 18.3 | Etkilenmemiş. |
| 18.4 | Etkilenmemiş. |
| 19.1 | Etkilenmemiş. |
| 19.2 | Etkilenmemiş. |
| 20.1 | Etkilenmemiş. |
| 20.3 | Etkilenmemiş. |
| 20.4 | Etkilenmemiş. |
| 20.5 | Etkilenmemiş. |
| 20.6.1 | Etkilenmemiş. |
| 20.6.2 | Etkilenmemiş. |
| 20.6.3 | Etkilenmemiş. |
| 20.6.3.1 | Etkilenmemiş. |
| 20.6.3.2 | Etkilenmemiş. |
| 20.6.3.3 | 20.6.3.4 |
| 20.6.4 | 20.6.4.2 |
| 20.6.5 | 20.6.5.5 |
| 20.7 | Sabit bir sürüme geçiş yapın. |
| 20.8 | Sabit bir sürüme geçiş yapın. |
| 20.9 | 20.9.3.2 |
| 20.10 | 20.10.1.2 |
| 20.11 | 20.11.1.2 |