思科SDS-WAN管理曝高危漏洞

發(fā)布時(shí)間 2023-07-18

近日,思科發(fā)布安全報(bào)告稱(chēng),已經(jīng)解決了一個(gè)關(guān)鍵的未經(jīng)認(rèn)證的RESTAPI訪(fǎng)問(wèn)漏洞,漏洞編號(hào)CV-2023-20214(cvss得分9.1)。該漏洞會(huì)影響思科SDS-WAN管理軟件,允許攻擊者發(fā)起遠(yuǎn)程攻擊,并且可以獲得設(shè)備的讀寫(xiě)權(quán)限或限制寫(xiě)入權(quán)限。

SD-WAN是近幾年推出的新方案,正在成為未來(lái)的發(fā)展趨勢(shì)之一。SD-WAN,即軟件定義廣域網(wǎng)絡(luò),是將SDN技術(shù)應(yīng)用到廣域網(wǎng)場(chǎng)景中所形成的一種服務(wù)。這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù),旨在幫助用戶(hù)降低廣域網(wǎng)的開(kāi)支和提高網(wǎng)絡(luò)連接靈活性。

思科安全公告稱(chēng),該漏洞是由于使用其他API特性時(shí)請(qǐng)求驗(yàn)證不足。攻擊者可以通過(guò)向受影響的SD-WAN管理設(shè)備發(fā)送精心制作的API請(qǐng)求來(lái)利用這個(gè)漏洞,并從設(shè)備中獲取敏感信息。

思科進(jìn)一步強(qiáng)調(diào),該漏洞安全性缺陷只會(huì)影響其他API,不會(huì)影響基于網(wǎng)絡(luò)的管理界面或CLI。受影響的SD-WAN管理版本如下:

  • v20.6.3.3 – fixed with the release v20.6.3.4

  • v20.6.4 – fixed with the release v20.6.4.2

  • v20.6.5 – fixed with the release v20.6.5.5

  • v20.9 – fixed with the release v20.9.3.2

  • v20.10 – fixed with the release v20.10.1.2

  • v20.11 – fixed with the release v20.11.1.2

從思科發(fā)布的安全報(bào)告可以得知,SD-WAN管理版本20.7和20.8也會(huì)遭受影響,對(duì)于這些版本的更新,思考建議用戶(hù)遷移至固定版本。

思科建議企業(yè)網(wǎng)絡(luò)管理員通過(guò)以下方式減少攻擊面:

  • 使用訪(fǎng)問(wèn)控制列表(ACLS)限制對(duì)SD-WAN管理實(shí)例的訪(fǎng)問(wèn);

  • 使用API鍵訪(fǎng)問(wèn)API;

  • 檢查日志,以檢測(cè)訪(fǎng)問(wèn)其他API的嘗試。