思科SDS-WAN管理曝高危漏洞

發(fā)布時間 2023-07-18

近日,思科發(fā)布安全報告稱,已經(jīng)解決了一個關(guān)鍵的未經(jīng)認(rèn)證的RESTAPI訪問漏洞,漏洞編號CV-2023-20214(cvss得分9.1)。該漏洞會影響思科SDS-WAN管理軟件,允許攻擊者發(fā)起遠程攻擊,并且可以獲得設(shè)備的讀寫權(quán)限或限制寫入權(quán)限。

SD-WAN是近幾年推出的新方案,正在成為未來的發(fā)展趨勢之一。SD-WAN,即軟件定義廣域網(wǎng)絡(luò),是將SDN技術(shù)應(yīng)用到廣域網(wǎng)場景中所形成的一種服務(wù)。這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù),旨在幫助用戶降低廣域網(wǎng)的開支和提高網(wǎng)絡(luò)連接靈活性。

思科安全公告稱,該漏洞是由于使用其他API特性時請求驗證不足。攻擊者可以通過向受影響的SD-WAN管理設(shè)備發(fā)送精心制作的API請求來利用這個漏洞,并從設(shè)備中獲取敏感信息。

思科進一步強調(diào),該漏洞安全性缺陷只會影響其他API,不會影響基于網(wǎng)絡(luò)的管理界面或CLI。受影響的SD-WAN管理版本如下:

  • v20.6.3.3 – fixed with the release v20.6.3.4

  • v20.6.4 – fixed with the release v20.6.4.2

  • v20.6.5 – fixed with the release v20.6.5.5

  • v20.9 – fixed with the release v20.9.3.2

  • v20.10 – fixed with the release v20.10.1.2

  • v20.11 – fixed with the release v20.11.1.2

從思科發(fā)布的安全報告可以得知,SD-WAN管理版本20.7和20.8也會遭受影響,對于這些版本的更新,思考建議用戶遷移至固定版本。

思科建議企業(yè)網(wǎng)絡(luò)管理員通過以下方式減少攻擊面:

  • 使用訪問控制列表(ACLS)限制對SD-WAN管理實例的訪問;

  • 使用API鍵訪問API;

  • 檢查日志,以檢測訪問其他API的嘗試。