Η Cisco προειδοποίησε τους πελάτες την Τετάρτη να επιδιορθώσουν μια ευπάθεια λογισμικού μηδενικής ημέρας IOS και IOS XE που στοχεύει επιτιθέμενους στην άγρια φύση.
Ανακαλύφθηκε από την XB της Cisco Advanced Security Initiatives Group (ASIG), αυτό το μέτριας σοβαρότητας ελάττωμα ασφαλείας (
CVE-2023-20109
) προέρχεται από ανεπαρκή επικύρωση χαρακτηριστικών εντός των πρωτοκόλλων Group Domain of Interpretation (GDOI) και G-IKEv2 της δυνατότητας GET VPN.
Ευτυχώς, οι επιτυχείς απαιτήσεις εκμετάλλευσης απαιτούν από τους πιθανούς εισβολείς να έχουν τον έλεγχο διαχειριστή είτε ενός βασικού διακομιστή είτε ενός μέλους ομάδας. Αυτό σημαίνει ότι οι εισβολείς έχουν ήδη διεισδύσει στο περιβάλλον, βλέποντας ότι όλη η επικοινωνία μεταξύ του βασικού διακομιστή και των μελών της ομάδας είναι κρυπτογραφημένη και επαληθευμένη.
“Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια είτε θέτοντας σε κίνδυνο έναν εγκατεστημένο διακομιστή κλειδιών είτε τροποποιώντας τη διαμόρφωση ενός μέλους της ομάδας ώστε να οδηγεί σε έναν διακομιστή κλειδιού που ελέγχεται από τον εισβολέα,” Cisco
εξήγησε
σε μια συμβουλευτική για την ασφάλεια που δημοσιεύθηκε την Τετάρτη.
“Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να εκτελέσει αυθαίρετο κώδικα και να αποκτήσει τον πλήρη έλεγχο του επηρεαζόμενου συστήματος ή να προκαλέσει επαναφόρτωση του επηρεαζόμενου συστήματος, με αποτέλεσμα μια συνθήκη άρνησης υπηρεσίας (DoS).”
Το σφάλμα zero-day επηρεάζει όλα τα προϊόντα της Cisco που εκτελούν μια ευάλωτη έκδοση λογισμικού IOS ή IOS XE με ενεργοποιημένο είτε το πρωτόκολλο GDOI είτε το G-IKEv2.
Τα προϊόντα Meraki και εκείνα που εκτελούν λογισμικό IOS XR και NX-OS δεν εκτίθενται σε επιθέσεις που χρησιμοποιούν εκμεταλλεύσεις CVE-2023-20109.
Στην άγρια εκμετάλλευση
Παρά την εκτεταμένη πρόσβαση στο περιβάλλον στόχο που απαιτείται για την επιτυχή εκμετάλλευση αυτής της ευπάθειας, η εταιρεία αποκάλυψε στην ίδια συμβουλή ότι οι φορείς απειλών έχουν ήδη αρχίσει να το στοχεύουν σε επιθέσεις.
“Η Cisco ανακάλυψε απόπειρα εκμετάλλευσης της δυνατότητας GET VPN και διεξήγαγε τεχνικό έλεγχο κώδικα της δυνατότητας. Αυτή η ευπάθεια ανακαλύφθηκε κατά την εσωτερική μας έρευνα”, αναφέρει η συμβουλευτική.
“Η Cisco συνεχίζει να συνιστά ανεπιφύλακτα στους πελάτες να αναβαθμίσουν σε μια σταθερή έκδοση λογισμικού για να αποκαταστήσουν αυτήν την ευπάθεια.”
Την Τετάρτη, η Cisco εξέδωσε επίσης ενημερώσεις κώδικα ασφαλείας για μια κρίσιμη ευπάθεια στα API της γλώσσας σήμανσης ασφαλείας (SAML) του λογισμικού διαχείρισης δικτύου Catalyst SD-WAN Manager.
Η επιτυχής εκμετάλλευση θα επέτρεπε στους μη επαληθευμένους εισβολείς να αποκτήσουν εξ αποστάσεως μη εξουσιοδοτημένη πρόσβαση στην εφαρμογή ως αυθαίρετος χρήστης.
