کمپانی سیسکو در بولتن امنیتیش در خصوص یه آسیب پذیری بحرانی در Cisco SD-WAN vManage هشداری رو صادر کرده.
Cisco SD-WAN vManage یه راه حل مبتنی بر ابر هستش که به سازمان ها امکان طراحی، استقرار و مدیریت شبکه های توزیع شده در چندین مکان رو میده.
آسیب پذیری در فرآیند تایید درخواست احرازهویت در REST API برنامه Cisco SD-WAN vManage هستش. شناسه آسیب پذیری CVE-2023-20214 هستش و امتیاز 9.1 و شدت بحرانی داره.
مهاجم راه دور بدون احرازهویت ، با ارسال یه درخواست مخرب API ، مجوزهای خوندن یا نوشتن محدود رو برای پیکربندی نمونه آسیبدیده دریافت میکنه. اکسپلویت موفق امکان خوندن اطلاعات حساس از سیستم در معرض خطر، تغییر تنظیمات خاص، اختلال در عملیات شبکه و … رو میده.
آسیب پذیری فقط روی REST API تاثیر میزاره و روی CLI یا رابط مدیریت مبتنی بر وب تاثیری نمی زاره. این APIها برای موارد زیر استفاده میشن :
- نظارت بر وضعیت دستگاه
- پیکربندی دستگاه
- بدست آوردن اطلاعات آماری از دستگاه
برای اصلاح هم فقط بروزرسانی رو داریم. البته گفته شده که میتونید با فعال کردن access control list (ACL) دسترسی به vManage رو محدود کنید.
نسخه های تحت تاثیر و اصلاح شده :
| نسخه تحت تاثیر | نسخه اصلاح شده |
|---|---|
| 18.3 | Not affected. |
| 18.4 | Not affected. |
| 19.1 | Not affected. |
| 19.2 | Not affected. |
| 20.1 | Not affected. |
| 20.3 | Not affected. |
| 20.4 | Not affected. |
| 20.5 | Not affected. |
| 20.6.1 | Not affected. |
| 20.6.2 | Not affected. |
| 20.6.3 | Not affected. |
| 20.6.3.1 | Not affected. |
| 20.6.3.2 | Not affected. |
| 20.6.3.3 | 20.6.3.4 |
| 20.6.4 | 20.6.4.2 |
| 20.6.5 | 20.6.5.5 |
| 20.7 | اصلاحیه منتشر نمیشه و باید به نسخه های اصلاح شده مهاجرت کنید |
| 20.8 | اصلاحیه منتشر نمیشه و باید به نسخه های اصلاح شده مهاجرت کنید |
| 20.9 | 20.9.3.2 |
| 20.10 | 20.10.1.2 |
| 20.11 | 20.11.1.2 |
سیسکو گفته که اطلاعاتی در خصوص اینکه آسیب پذیری مورد اکسپلویت قرار گرفته یا در حملاتی استفاده شده، نداره.
برای اینکه بررسی کنید آیا به این APIها درخواستی ارسال شده یا نه، فایل لاگ که در مسیر زیر قرار داره رو بررسی کنید :
|
1 |
/var/log/nms/vmanage-server.log |
با دستور CLI زیر میتونید این فایل رو مشاهده کنید :
|
1 |
vmanage# show log /var/log/nms/vmanage-server.log |
اگه در نتایج عبارت Request Stored in Map is (/dataservice/client/server) for user (admin) بود، یعنی درخواستهایی به REST API ارسال شده :
|
1 2 3 4 |
30-Jun-2023 15:17:03,888 UTC INFO [ST3_vmanage1] [AppServerLoginModule] (default task-202) |default| Localization: Locale value after setting for non-SAML User upon login: null 30-Jun-2023 15:17:03,930 UTC INFO [ST3_vmanage1] [UserUtils] (default task-202) |default| Request Stored in Map is (/dataservice/client/server) for user (admin) 30-Jun-2023 15:17:03,933 UTC INFO [ST3_vmanage1] [UserUtils] (default task-202) |default| localUserFile : /etc/viptela/aaa_auth_grp/admin, radiusUserFile : /etc/viptela/aaa_auth_grp/admin.external 30-Jun-2023 15:17:03,933 UTC INFO [ST3_vmanage1] [UserUtils] (default task-202) |default| localUserFile exists : false, isFile : false |
توصیه شده از کلیدهای API طبق این راهنما برای دسترسی به APIها استفاده کنید.