Cisco SD-WAN vManage yönetim yazılımı, kimliği doğrulanmamış, uzak bir saldırganın etkilenen örneğin yapılandırmasında okuma veya sınırlı yazma izinleri kazanmasına olanak tanıyan bir kusurdan etkilenir.
Cisco SD-WAN vManage, kuruluşların birden çok konumda dağıtılmış ağları tasarlamasına, dağıtmasına ve yönetmesine olanak tanıyan bulut tabanlı bir çözümdür.
vManage bulut sunucuları, merkezi ağ yönetimi, VPN kurulumu, SD-WAN orkestrasyonu, cihaz yapılandırma dağıtımı, politika uygulaması vb. hizmet verebilecek dağıtımlardır.
Cisco dün, CVE-2023-20214 olarak izlenen Cisco SD-WAN vManage yazılımının REST API’si için istek kimlik doğrulama doğrulamasında kritik düzeyde bir güvenlik açığı hakkında bilgi veren bir güvenlik bülteni yayınladı.
Kusur, etkilenen vManage örneklerine özel hazırlanmış bir API isteği gönderilerek yararlanılabilen REST API özelliği kullanılırken yetersiz istek doğrulamasından kaynaklanır.
Bu, saldırganların güvenliği ihlal edilmiş sistemdeki hassas bilgileri okumasına, belirli yapılandırmaları değiştirmesine, ağ işlemlerini kesintiye uğratmasına ve daha fazlasına olanak sağlayabilir.
Cisco’nun bülteninde, “Başarılı bir istismar, saldırganın etkilenen Cisco vManage örneğinden bilgi almasına ve bu örneğin yapılandırmasına bilgi göndermesine izin verebilir” diyor.
“Bu güvenlik açığı yalnızca REST API’yi etkiler ve web tabanlı yönetim arabirimini veya CLI’yi etkilemez.”
Düzeltmeler ve geçici çözümler
CVE-2023-20214’ten etkilenen Cisco SD-WAN vManage sürümleri şunlardır:
- v20.6.3.3 – v20.6.3.4’te düzeltildi
- v20.6.4 – v20.6.4.2’de düzeltildi
- v20.6.5 – v20.6.5.5’te düzeltildi
- v20.9 – v20.9.3.2’de düzeltildi
- v20.10 – v20.10.1.2’de düzeltildi
- v20.11 – v20.11.1.2’de düzeltildi
Ayrıca, Cisco SD-WAN vManage 20.7 ve 20.8 sürümleri de etkilenir, ancak bu ikisi için herhangi bir düzeltme yayınlanmayacaktır, bu nedenle kullanıcılarına farklı bir sürüme geçiş yapmaları önerilir.
Yukarıdaki listede belirtilmeyen 18.x ile 20.x arasındaki sürümler CVE-2023-20214’ten etkilenmez.
Cisco, bu güvenlik açığı için herhangi bir geçici çözüm olmadığını söylüyor; ancak, saldırı yüzeyini önemli ölçüde azaltmanın yolları vardır.
Ağ yöneticilerine, vManage örneklerine erişimi yalnızca belirtilen IP adresleriyle sınırlayan ve dış saldırganlara kapıyı kapatan kontrol erişim listelerini (ACL’ler) kullanmaları önerilir.
Diğer bir güçlü güvenlik önlemi, API’lere erişmek için API anahtarlarını kullanmaktır; bu, Cisco tarafından genel bir öneridir ancak vManage dağıtımları için zorunlu bir gereklilik değildir.
Yöneticilere ayrıca REST API’ye erişme girişimlerini tespit etmek için günlükleri izlemeleri talimatı verilir ve bu da olası güvenlik açığı istismarını gösterir.
vmanage-server.log dosyasının içeriğini görüntülemek için şu komutu kullanın: "vmanage# show log /var/log/nms/vmanage-server.log".