Menu dostępności

Krytyczny błąd w Cisco. CVSS 9,9

Krytyczny błąd w Cisco. CVSS 9,9!

O Cisco pisaliśmy już wielokrotnie. Teraz znowu jest okazja, bowiem producent ogłosił poprawki dla wielu luk w zabezpieczeniach swoich produktów, w tym podatności o krytycznym znaczeniu w Cisco Nexus Dashboard Fabric Controller (NDFC).

Krytyczny błąd sklasyfikowany został jako CVE-2024-20432 i otrzymał wynik CVSS aż 9,9! Luka ma wpływ na interfejsy API REST oraz użytkownika sieci NDFC i może umożliwić uwierzytelnionemu zdalnemu atakującemu wykonywanie dowolnych poleceń na podatnym urządzeniu z uprawnieniami administratora sieci.

„Ta luka wynika z nieprawidłowej autoryzacji użytkownika i niewystarczającej walidacji argumentów poleceń. Atakujący może wykorzystać tę lukę, przesyłając spreparowane polecenia do punktu końcowego interfejsu API REST lub za pośrednictwem interfejsu użytkownika sieci” – wyjaśnia Cisco w swoim komunikacie.

Luka w zabezpieczeniach została rozwiązana w wersji Cisco NDFC 12.2.2. Według producenta wersje NDFC 11.5 i starsze oraz wystąpienia skonfigurowane do wdrożenia kontrolera SAN nie są podatne.

Najnowsze wydanie NDFC 12.2.2 zawiera również poprawki błędu w walidacji ścieżki, który może umożliwić uwierzytelnionemu zdalnemu atakującemu przesłanie złośliwego kodu na zainfekowane urządzenie przy użyciu protokołu Secure Copy Protocol (SCP). Udane wykorzystanie może doprowadzić do wykonania dowolnego kodu z uprawnieniami roota.

Cisco ogłosiło również poprawki do wielu problemów o wysokim i średnim stopniu ważności w urządzeniach bramowych telepracowników Meraki MX i Meraki Z, które mogą umożliwić atakującym spowodowanie popularnego DoS-a, czyli „warunków odmowy usług”.

Błędy, trzy o wysokim i trzy o średnim stopniu ważności, dotyczą 25 produktów Meraki, o ile działają na nich podatne wersje oprogramowania sprzętowego i mają włączoną usługę AnyConnect VPN.

Luki o wysokim stopniu ważności istnieją, ponieważ parametry dostarczone przez klienta nie są wystarczająco dobrze sprawdzane podczas nawiązywania sesji SSL VPN, co pozwala atakującemu na wysyłanie spreparowanych żądań i ponowne uruchamianie serwera AnyConnect VPN, uniemożliwiając nawiązywanie połączeń SSL VPN.

Niewystarczające zarządzanie zasobami podczas ustanawiania sesji TLS/SSL lub SSL VPN i niewystarczająca entropia dla programów obsługi używanych podczas tworzenia sesji SSL VPN prowadzą do trzech luk o średnim stopniu zagrożenia, które mogą pozwolić atakującym na uniemożliwienie sesji lub jej zakończenie.

Wersja oprogramowania układowego Cisco Meraki MX 18.211.2 rozwiązuje tę lukę. Według producenta urządzenia z wersjami oprogramowania 16.2 i nowszymi oraz 17.0 i nowszymi powinny zostać podniesione do poprawionej wersji.

Gigant technologiczny ostrzegł również, że modele routerów RV340, RV340W, RV345 i RV345P oraz routery biznesowe RV042, RV042G, RV320 i RV325, które zostały wycofane ze sprzedaży, są dotknięte błędami o wysokim i średnim stopniu zagrożenia. Używanie tego sprzętu może umożliwić hakerowi podniesienie uprawnień, zdalne wykonywanie kodu i atak DoS.

„Cisco nie wydało i nie wyda aktualizacji oprogramowania, które rozwiążą te luki, ponieważ dotknięte nimi produkty przekroczyły już daty wydania wersji End of Software Maintenance Releases” – poinformowała firma.

Jednakże aktualizacje oprogramowania zostały wydane w celu rozwiązania średnio poważnych usterek w Nexus Dashboard Orchestrator, Nexus Dashboard i NDFC, Nexus Dashboard Insights, bramach Meraki MX i Meraki Z, Identity Services Engine (ISE), urządzeniach Expressway-C i Expressway-E oraz serwerach UCS B-series, UCS Managed C-series i UCS X-series.

Cisco twierdzi, że nie ma wiedzy o użyciu tych luk w praktycznych atakach. Wiadomo jednak, że cyberprzestępcy wykorzystują podatności w produktach Cisco, dla których wydano poprawki, dlatego użytkownikom zaleca się jak najszybszą aktualizację instalacji lub, w razie potrzeby, zastąpienie wycofanych produktów obsługiwanymi. Dodatkowe informacje można znaleźć na stronie Cisco Security Advisory.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...