O Cisco pisaliśmy już wielokrotnie. Teraz znowu jest okazja, bowiem producent ogłosił poprawki dla wielu luk w zabezpieczeniach swoich produktów, w tym podatności o krytycznym znaczeniu w Cisco Nexus Dashboard Fabric Controller (NDFC).
Krytyczny błąd sklasyfikowany został jako CVE-2024-20432 i otrzymał wynik CVSS aż 9,9! Luka ma wpływ na interfejsy API REST oraz użytkownika sieci NDFC i może umożliwić uwierzytelnionemu zdalnemu atakującemu wykonywanie dowolnych poleceń na podatnym urządzeniu z uprawnieniami administratora sieci.
„Ta luka wynika z nieprawidłowej autoryzacji użytkownika i niewystarczającej walidacji argumentów poleceń. Atakujący może wykorzystać tę lukę, przesyłając spreparowane polecenia do punktu końcowego interfejsu API REST lub za pośrednictwem interfejsu użytkownika sieci” – wyjaśnia Cisco w swoim komunikacie.
Luka w zabezpieczeniach została rozwiązana w wersji Cisco NDFC 12.2.2. Według producenta wersje NDFC 11.5 i starsze oraz wystąpienia skonfigurowane do wdrożenia kontrolera SAN nie są podatne.
Najnowsze wydanie NDFC 12.2.2 zawiera również poprawki błędu w walidacji ścieżki, który może umożliwić uwierzytelnionemu zdalnemu atakującemu przesłanie złośliwego kodu na zainfekowane urządzenie przy użyciu protokołu Secure Copy Protocol (SCP). Udane wykorzystanie może doprowadzić do wykonania dowolnego kodu z uprawnieniami roota.
Cisco ogłosiło również poprawki do wielu problemów o wysokim i średnim stopniu ważności w urządzeniach bramowych telepracowników Meraki MX i Meraki Z, które mogą umożliwić atakującym spowodowanie popularnego DoS-a, czyli „warunków odmowy usług”.
Błędy, trzy o wysokim i trzy o średnim stopniu ważności, dotyczą 25 produktów Meraki, o ile działają na nich podatne wersje systemu sprzętowego i mają włączoną usługę AnyConnect VPN.
Luki o wysokim stopniu ważności istnieją, ponieważ parametry dostarczone przez klienta nie są wystarczająco dobrze sprawdzane podczas nawiązywania sesji SSL VPN, co pozwala atakującemu na wysyłanie spreparowanych żądań i ponowne uruchamianie serwera AnyConnect VPN, uniemożliwiając nawiązywanie połączeń SSL VPN.
Niewystarczające zarządzanie zasobami podczas ustanawiania sesji TLS/SSL lub SSL VPN i niewystarczająca entropia dla programów obsługi używanych podczas tworzenia sesji SSL VPN prowadzą do trzech luk o średnim stopniu zagrożenia, które mogą pozwolić atakującym na uniemożliwienie sesji lub jej zakończenie.
Wersja systemu układowego Cisco Meraki MX 18.211.2 rozwiązuje tę lukę. Według producenta urządzenia z wersjami systemu 16.2 i nowszymi oraz 17.0 i nowszymi powinny zostać podniesione do poprawionej wersji.
Gigant technologiczny ostrzegł również, iż modele routerów RV340, RV340W, RV345 i RV345P oraz routery biznesowe RV042, RV042G, RV320 i RV325, które zostały wycofane ze sprzedaży, są dotknięte błędami o wysokim i średnim stopniu zagrożenia. Używanie tego sprzętu może umożliwić hakerowi podniesienie uprawnień, zdalne wykonywanie kodu i atak DoS.
„Cisco nie wydało i nie wyda aktualizacji oprogramowania, które rozwiążą te luki, ponieważ dotknięte nimi produkty przekroczyły już daty wydania wersji End of Software Maintenance Releases” – poinformowała firma.
Jednakże aktualizacje systemu zostały wydane w celu rozwiązania średnio poważnych usterek w Nexus Dashboard Orchestrator, Nexus Dashboard i NDFC, Nexus Dashboard Insights, bramach Meraki MX i Meraki Z, Identity Services Engine (ISE), urządzeniach Expressway-C i Expressway-E oraz serwerach UCS B-series, UCS Managed C-series i UCS X-series.
Cisco twierdzi, iż nie ma wiedzy o użyciu tych luk w praktycznych atakach. Wiadomo jednak, iż cyberprzestępcy wykorzystują podatności w produktach Cisco, dla których wydano poprawki, dlatego użytkownikom zaleca się jak najszybszą aktualizację instalacji lub, w razie potrzeby, zastąpienie wycofanych produktów obsługiwanymi. Dodatkowe informacje można znaleźć na stronie Cisco Security Advisory.
