Kritik Cisco Hataları Kablosuz, SD-WAN’da Kod Yürütülmesine İzin Veriyor

Kritik Cisco Hataları Kablosuz, SD-WAN'da Kod Yürütülmesine İzin Veriyor

Cisco, kurumsal ağ portföyünün çoğunun işletim sistemi olan amiral gemisi IOS XE yazılımını etkileyen üç kritik güvenlik açığını uyarıyor. Kusurlar, Cisco’nun kablosuz denetleyicilerini, SD-WAN teklifini ve çok sayıda ürün için kullanılan yapılandırma mekanizmalarını etkiler.

Ağ devi, bu hafta yayınlanan kapsamlı 32 hata güncellemesinin bir parçası olarak hepsi için yamalar yayınladı .

Kritik hataların en şiddetlisi, Cisco Catalyst 9000 kablosuz denetleyici ailesini etkileyen, kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) ve hizmet reddi (DoS) hatasıdır.

CVE-2021-34770: Kablosuz Denetleyiciler için RCE ve DoS

10 üzerinden 10 CVSS güvenlik açığı-önem derecesine sahip olan sorun ( CVE-2021-34770 ), cihazlara güç sağlayan Cisco IOS XE yazılımı tarafından kullanılan kablosuz erişim noktaları (CAPWAP) protokol işlemesinin kontrolü ve sağlanmasında özellikle mevcuttur.

Cisco, bu haftaki tavsiyesinde “Açıklık, CAPWAP paketlerinin doğrulanması sırasında meydana gelen bir mantık hatasından kaynaklanıyor” dedi. “Bir saldırgan, etkilenen bir cihaza hazırlanmış bir CAPWAP paketi göndererek bu güvenlik açığından yararlanabilir. Başarılı bir güvenlik açığı, saldırganın yönetici ayrıcalıklarıyla rastgele kod yürütmesine veya etkilenen aygıtın kilitlenmesine ve yeniden yüklenmesine neden olarak bir DoS durumuna neden olabilir.

Bir geçici çözüm veya azaltma olmadığında, yöneticiler, uzlaşmayı önlemek için mümkün olan en kısa sürede yama yapmalıdır. Etkilenen ürünler şunlardır:

  • Catalyst 9300, 9400 ve 9500 Serisi Anahtarlar için Catalyst 9800 Gömülü Kablosuz Denetleyici
  • Catalyst 9800 Serisi Kablosuz Kontrol Cihazları
  • Bulut için Catalyst 9800-CL Kablosuz Denetleyiciler
  • Catalyst Erişim Noktalarında Yerleşik Kablosuz Denetleyici

Cisco SD-WAN için RCE ve DoS

Sonraki iki kritik hatanın her ikisi de CVSS ölçeğinde 10 üzerinden 9,8’dir. Bunlardan ilki, Cisco’nun SD-WAN yazılımındaki (IOS XE yazılımı aracılığıyla etkinleştirilebilen) bir yazılım-arabellek taşması sorunudur ( CVE-2021-34727 ), bu, kök ve DoS saldırıları olarak kimliği doğrulanmamış RCE’ye izin verebilir. Danışmanlığa göre vDaemon sürecinde ortaya çıkar.

Cisco’ya göre, “Bu güvenlik açığı, etkilenen bir cihaz trafiği işlediğinde yetersiz sınır kontrolünden kaynaklanıyor”. “Bir saldırgan, cihaza hazırlanmış trafik göndererek bu güvenlik açığından yararlanabilir. Başarılı bir açıklardan yararlanma, saldırganın arabellek taşmasına ve muhtemelen kök düzeyinde ayrıcalıklarla rasgele komutlar yürütmesine veya aygıtın yeniden yüklenmesine neden olarak hizmet reddi durumuna neden olabilir.

Bir kez daha bunun için herhangi bir geçici çözüm veya hafifletme yok, bu nedenle derhal yama yapmak iyi bir fikirdir. Kuruluşlar SD-WAN özelliğini kullanıyorsa, aşağıdaki ürünler savunmasızdır:

  • 1000 Serisi Entegre Servis Yönlendiricileri (ISR’ler)
  • 4000 Serisi ISR’ler
  • ASR 1000 Serisi Toplama Hizmetleri Yönlendiricileri
  • Bulut Hizmetleri Yönlendirici 1000V Serisi

CVE-2021-1619: Tehlike Altındaki Cihaz Yapılandırmaları

Son kritik hata, IOS XE yazılımındaki bir kimlik doğrulama baypas güvenlik açığıdır – özellikle bir ağ yönetim sistemi aracılığıyla ağ cihazlarının yapılandırmasını kurmak, değiştirmek ve silmek için kullanılan ağ yapılandırma protokolünü (NETCONF) etkiler; ve NETCONF yapılandırma veri depolarına sahip cihazları sorgulamak ve yapılandırmak için kullanılan REST tabanlı bir HTTP arabirimi olan RESTCONF protokolü.

Cisco, sorunun ( CVE-2021-1619 ) özellikle kimlik doğrulama, yetkilendirme ve muhasebe (AAA) işlevinde yattığını ve kimliği doğrulanmamış, uzak bir saldırganın NETCONF veya RESTCONF kimlik doğrulamasını atlamasına ve birkaç şekilde ortalığı karıştırmasına izin verebileceğini açıkladı:

  • Etkilenen bir cihazın yapılandırmasını kurun, değiştirin veya silin
  • DoS ile sonuçlanan bellek bozulmasına neden olur

Danışma belgesine göre “Bu güvenlik açığı başlatılmamış bir değişkenden kaynaklanıyor”. “Bir saldırgan, etkilenen bir cihaza bir dizi NETCONF veya RESTCONF isteği göndererek bu güvenlik açığından yararlanabilir.”

Bu güvenlik açığı, aşağıdakileri çalıştıran cihazları etkiler:

  • Otonom veya denetleyici modu için yapılandırılmışsa Cisco IOS XE yazılımı
  • Cisco IOS XE SD-WAN yazılımı

Geçici Çözüm, Azaltma Mevcut

Önceki iki hatadan farklı olarak, bunun hem bir geçici çözümü hem de bir azaltması vardır.

Geçici çözüm cephesinde, savunmasız olmak için üç şeyin yapılandırılması gerektiğini unutmamak önemlidir:

  • AAA
  • NETCONF, RESTCONF veya her ikisi
  • “Gizli etkinleştir” olmadan kullanılan “Şifreyi etkinleştir”

Böylece, kullanıcılar kendilerini korumak için “parolayı etkinleştir” yapılandırmasını kaldırabilir ve bunun yerine “gizli etkinleştir”i yapılandırabilir.

Azaltmaya gelince, saldırı yüzeyini sınırlamak için yöneticiler, güvenilmeyen alt ağlardan erişim girişimini önlemek için NETCONF ve RESTCONF için erişim kontrol listelerinin (ACL’ler) yerinde olmasını sağlayabilir.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »