Cisco, Cisco Crosswork Network Services Orchestrator (NSO), Cisco Optical Site Manager ve Cisco RV340 Dual WAN Gigabit VPN Yönlendiricileri de dahil olmak üzere çeşitli ürünlerin web tabanlı yönetim arayüzlerinde kullanılan JSON-RPC API özelliğinde kritik bir güvenlik açığını açıkladı.
CVE-2024-20381 olarak izlenen bu açık, kimliği doğrulanmış uzak saldırganların etkilenen cihazların yapılandırmasını değiştirmesine ve ayrıcalıkları artırmasına olanak tanıyabilir.
Güvenlik açığı, JSON-RPC API’sindeki uygunsuz yetkilendirme kontrollerinden kaynaklanmaktadır. Güvenlik açığı bulunan uygulamaya veya cihaza erişmek için yeterli ayrıcalıklara sahip saldırganlar, API’ye kötü amaçlı istekler göndererek bu sorunu istismar edebilir.
Başarılı bir istismar, saldırganların cihaz yapılandırmasında yetkisiz değişiklikler yapmasına, örneğin yeni kullanıcı hesapları oluşturmasına veya ayrıcalıklarını yükseltmesine olanak tanıyabilir.
Decoding Compliance: What CISOs Need to Know – Join Free Webinar
Etkilenen Ürünler ve Sürümler
Bu kusur, yapılandırmadan bağımsız olarak aşağıdaki Cisco ürünlerini etkiler:
- Çapraz çalışma NSO
- Optik Site Yöneticisi
- RV340 Dual WAN Gigabit VPN Yönlendiricileri
JSON-RPC API özelliği etkinleştirilirse bu durum ConfD’yi de etkiler.
Güvenlik açığı bulunan ConfD sürümleri şunlardır:
- 7.5 ila 7.5.10.1
- 7.7’den 7.7.15’e kadar
- 8.0’dan 8.0.12’ye
Cisco, Crosswork NSO, Optical Site Manager ve ConfD için bu güvenlik açığını gideren yazılım güncellemeleri yayınladı. Müşterilerin uygun bir sabit sürüme yükseltmeleri önerilir. Ancak Cisco, kullanım ömürlerinin sonuna geldikleri için RV340 yönlendiricileri için yama sağlamayacaktır.
Bu güvenlik açığını hafifletmek için kullanılabilecek geçici çözüm bulunmamaktadır. Cisco, etkilenen ürünleri kullanan müşterilerin mümkün olan en kısa sürede yamalı bir sürüme yükseltmelerini önermektedir.
Güvenlik Açığının Kontrol Edilmesi
JSON-RPC API özelliğinin ConfD’de etkin olup olmadığını belirlemek için, webui ayarı için confd.conf yapılandırma dosyasını kontrol edin. Webui true olarak ayarlanmışsa ve geçerli TCP veya SSL taşımaları ve bağlantı noktaları yapılandırılmışsa, uygulama web sunucusu JSON-RPC isteklerini işleyebilir, ancak savunmasız olabilir.
Cisco şimdiye kadar bu güvenlik açığının kötü amaçlı bir şekilde istismar edildiğinin farkında olmasa da, müşterilerin maruziyetlerini değerlendirmeleri ve ağlarını korumak için gerekli güncellemeleri uygulamaları önemle rica olunur. Her zaman olduğu gibi, en az ayrıcalıklı erişim ve ağ segmentasyonu gibi en iyi güvenlik uygulamalarını takip etmek, güvenlik açıklarının etkisini sınırlamaya yardımcı olabilir.
Simulating Cyberattack Scenarios With All-in-One Cybersecurity Platform – Watch Free Webinar