Menu dostępności

nowe podatności w urządzeniach Cisco

Uwaga – podatności w Cisco! Jedna z luk umożliwia atakującym modyfikację zaszyfrowanego ruchu!

W zeszłym tygodniu Cisco poinformowało klientów o poważnej luce w przełącznikach serii Nexus 9000, mogącej umożliwić nieuwierzytelnionym atakującym przechwytywanie i modyfikowanie ruchu.

Podatność sklasyfikowano jako CVE-2023-20185. Dotyczy ona funkcji szyfrowania ACI CloudSec w wielu lokalizacjach przełączników Nexus 9000, które są skonfigurowane w trybie infrastruktury zorientowanej na aplikacje (ACI) – zwykle używanym w centrach danych do kontrolowania środowisk fizycznych i wirtualnych.

Problem z implementacją szyfrów używanych przez funkcję szyfrowania CloudSec umożliwia zdalnemu, nieuwierzytelnionemu atakującemu przechwycenie zaszyfrowanego ruchu między witrynami i złamanie szyfrowania przy użyciu technik kryptograficznych. Osoba atakująca może następnie odczytać lub zmodyfikować ruch.

„Ta luka dotyczy przełączników Cisco Nexus 9000 Series Fabric w trybie ACI, które działają w wersji 14.0 i nowszych, jeśli są częścią topologii wielu lokalizacji i mają włączoną funkcję szyfrowania CloudSec”, wyjaśnia Cisco w poradniku.

Problem dotyczy stałych przełączników kręgosłupa Nexus 9332C i Nexus 9364C oraz przełączników Nexus 9500 wyposażonych w kartę liniową Nexus N9K-X9736C-FX.

Cisco nie wydało poprawek eliminujących lukę i zaleca klientom korzystającym z wrażliwych przełączników wyłączenie funkcji szyfrowania CloudSec w wielu lokalizacjach ACI.

Wraz z powyższymi informacjami producent wydał aktualizację oprogramowania. Ma ona rozwiązać cztery problemy o średniej wadze w Webex Meetings, Duo Authentication Proxy i BroadWorks. Jednocześnie Cisco informuje, że pomyślne wykorzystanie „średnich” luk może prowadzić do ataków cross-site scripting (XSS) lub cross-site request forgery (CSRF), wycieków informacji i eskalacji uprawnień.

Producent twierdzi, że nie posiada wiadomości na temat żadnych złośliwych ataków ani upublicznionego kodu potwierdzającego koncepcję (PoC), ukierunkowanego na te luki.

To nie jedyne kłopoty Cisco, jakie pojawiły się w ostatnim czasie. Pod koniec czerwca analityk bezpieczeństwa Filip Dragovic opublikował kod sprawdzający koncepcję (PoC), dotyczący niedawno załatanej luki w zabezpieczeniach Cisco AnyConnect Secure Mobility Client i Secure Client dla systemu Windows.

Jest to oprogramowanie, które umożliwia zdalnym pracownikom łączenie się z siecią organizacji za pomocą bezpiecznej wirtualnej sieci prywatnej (VPN) i zapewnia możliwości monitorowania.

Wada bezpieczeństwa śledzona jako CVE-2023-20178 (wynik CVSS 7,8) wpływa na proces aktualizacji oprogramowania klienta, umożliwiając lokalnemu atakującemu o niskich uprawnieniach podniesienie poziomu dostępu i wykonanie kodu z uprawnieniami systemowymi.

„Ta luka w zabezpieczeniach istnieje, ponieważ do katalogu tymczasowego, który jest tworzony podczas procesu aktualizacji, przypisano niewłaściwe uprawnienia. Osoba atakująca może wykorzystać tę lukę, nadużywając określonej funkcji procesu instalatora systemu Windows” – wyjaśnia Cisco w poradniku.

Ogólnie rzecz biorąc, jest to problem z usunięciem dowolnego folderu. Może zostać wywołany podczas procesu aktualizacji oprogramowania, gdy tworzony jest folder tymczasowy do przechowywania kopii modyfikowanych plików.  Umożliwia to wycofanie zmian, jeśli proces instalacji nie zostanie zakończony.

Osoba atakująca ze znajomością tego folderu tymczasowego może uruchomić exploita zawierającego plik wykonywalny przeznaczony do uruchamiania procesu aktualizacji, ale w trakcie wycofywania zmian. Jednocześnie exploit nieustannie próbuje zastąpić zawartość folderu tymczasowego szkodliwymi plikami.

Po zatrzymaniu procesu aktualizacji system Windows próbuje przywrócić pliki w folderze tymczasowym do ich pierwotnej lokalizacji, ale zamiast tego wykorzystuje złośliwą zawartość atakującego.

Badacz informuje, że przetestował PoC na Secure Client w wersji 5.0.01242 i AnyConnect Secure Mobility Client w wersji 4.10.06079. Dotyczy to tylko iteracji oprogramowania systemu Windows.

Firma Cisco zajęła się luką CVE-2023-20178 na początku czerwca, wydając oprogramowanie AnyConnect Secure Mobility Client w wersji 4.10.07061 i Secure Client w wersji 5.0.02075.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...