Cisco, kurumsal ağ portföyünün çoğunun işletim sistemi olan amiral gemisi IOS XE yazılımını etkileyen üç kritik güvenlik açığını uyarıyor. Kusurlar, Cisco’nun kablosuz denetleyicilerini, SD-WAN teklifini ve çok sayıda ürün için kullanılan yapılandırma mekanizmalarını etkiler.
Ağ devi, bu hafta yayınlanan kapsamlı 32 hata güncellemesinin bir parçası olarak hepsi için yamalar yayınladı .
Kritik hataların en şiddetlisi, Cisco Catalyst 9000 kablosuz denetleyici ailesini etkileyen, kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) ve hizmet reddi (DoS) hatasıdır.
CVE-2021-34770: Kablosuz Denetleyiciler için RCE ve DoS
10 üzerinden 10 CVSS güvenlik açığı-önem derecesine sahip olan sorun ( CVE-2021-34770 ), cihazlara güç sağlayan Cisco IOS XE yazılımı tarafından kullanılan kablosuz erişim noktaları (CAPWAP) protokol işlemesinin kontrolü ve sağlanmasında özellikle mevcuttur.
Cisco, bu haftaki tavsiyesinde “Açıklık, CAPWAP paketlerinin doğrulanması sırasında meydana gelen bir mantık hatasından kaynaklanıyor” dedi. “Bir saldırgan, etkilenen bir cihaza hazırlanmış bir CAPWAP paketi göndererek bu güvenlik açığından yararlanabilir. Başarılı bir güvenlik açığı, saldırganın yönetici ayrıcalıklarıyla rastgele kod yürütmesine veya etkilenen aygıtın kilitlenmesine ve yeniden yüklenmesine neden olarak bir DoS durumuna neden olabilir.
Bir geçici çözüm veya azaltma olmadığında, yöneticiler, uzlaşmayı önlemek için mümkün olan en kısa sürede yama yapmalıdır. Etkilenen ürünler şunlardır:
- Catalyst 9300, 9400 ve 9500 Serisi Anahtarlar için Catalyst 9800 Gömülü Kablosuz Denetleyici
- Catalyst 9800 Serisi Kablosuz Kontrol Cihazları
- Bulut için Catalyst 9800-CL Kablosuz Denetleyiciler
- Catalyst Erişim Noktalarında Yerleşik Kablosuz Denetleyici
Cisco SD-WAN için RCE ve DoS
Sonraki iki kritik hatanın her ikisi de CVSS ölçeğinde 10 üzerinden 9,8’dir. Bunlardan ilki, Cisco’nun SD-WAN yazılımındaki (IOS XE yazılımı aracılığıyla etkinleştirilebilen) bir yazılım-arabellek taşması sorunudur ( CVE-2021-34727 ), bu, kök ve DoS saldırıları olarak kimliği doğrulanmamış RCE’ye izin verebilir. Danışmanlığa göre vDaemon sürecinde ortaya çıkar.
Cisco’ya göre, “Bu güvenlik açığı, etkilenen bir cihaz trafiği işlediğinde yetersiz sınır kontrolünden kaynaklanıyor”. “Bir saldırgan, cihaza hazırlanmış trafik göndererek bu güvenlik açığından yararlanabilir. Başarılı bir açıklardan yararlanma, saldırganın arabellek taşmasına ve muhtemelen kök düzeyinde ayrıcalıklarla rasgele komutlar yürütmesine veya aygıtın yeniden yüklenmesine neden olarak hizmet reddi durumuna neden olabilir.
Bir kez daha bunun için herhangi bir geçici çözüm veya hafifletme yok, bu nedenle derhal yama yapmak iyi bir fikirdir. Kuruluşlar SD-WAN özelliğini kullanıyorsa, aşağıdaki ürünler savunmasızdır:
- 1000 Serisi Entegre Servis Yönlendiricileri (ISR’ler)
- 4000 Serisi ISR’ler
- ASR 1000 Serisi Toplama Hizmetleri Yönlendiricileri
- Bulut Hizmetleri Yönlendirici 1000V Serisi
CVE-2021-1619: Tehlike Altındaki Cihaz Yapılandırmaları
Son kritik hata, IOS XE yazılımındaki bir kimlik doğrulama baypas güvenlik açığıdır – özellikle bir ağ yönetim sistemi aracılığıyla ağ cihazlarının yapılandırmasını kurmak, değiştirmek ve silmek için kullanılan ağ yapılandırma protokolünü (NETCONF) etkiler; ve NETCONF yapılandırma veri depolarına sahip cihazları sorgulamak ve yapılandırmak için kullanılan REST tabanlı bir HTTP arabirimi olan RESTCONF protokolü.
Cisco, sorunun ( CVE-2021-1619 ) özellikle kimlik doğrulama, yetkilendirme ve muhasebe (AAA) işlevinde yattığını ve kimliği doğrulanmamış, uzak bir saldırganın NETCONF veya RESTCONF kimlik doğrulamasını atlamasına ve birkaç şekilde ortalığı karıştırmasına izin verebileceğini açıkladı:
- Etkilenen bir cihazın yapılandırmasını kurun, değiştirin veya silin
- DoS ile sonuçlanan bellek bozulmasına neden olur
Danışma belgesine göre “Bu güvenlik açığı başlatılmamış bir değişkenden kaynaklanıyor”. “Bir saldırgan, etkilenen bir cihaza bir dizi NETCONF veya RESTCONF isteği göndererek bu güvenlik açığından yararlanabilir.”
Bu güvenlik açığı, aşağıdakileri çalıştıran cihazları etkiler:
- Otonom veya denetleyici modu için yapılandırılmışsa Cisco IOS XE yazılımı
- Cisco IOS XE SD-WAN yazılımı
Geçici Çözüm, Azaltma Mevcut
Önceki iki hatadan farklı olarak, bunun hem bir geçici çözümü hem de bir azaltması vardır.
Geçici çözüm cephesinde, savunmasız olmak için üç şeyin yapılandırılması gerektiğini unutmamak önemlidir:
- AAA
- NETCONF, RESTCONF veya her ikisi
- “Gizli etkinleştir” olmadan kullanılan “Şifreyi etkinleştir”
Böylece, kullanıcılar kendilerini korumak için “parolayı etkinleştir” yapılandırmasını kaldırabilir ve bunun yerine “gizli etkinleştir”i yapılandırabilir.
Azaltmaya gelince, saldırı yüzeyini sınırlamak için yöneticiler, güvenilmeyen alt ağlardan erişim girişimini önlemek için NETCONF ve RESTCONF için erişim kontrol listelerinin (ACL’ler) yerinde olmasını sağlayabilir.