Cisco har de senaste två veckorna identifierat och snabbt hanterat sårbarheter i en rad hård- och mjukvarulösningar, varav vissa rankade som känsliga med en hög CVSS v3 score. Då vi fått frågor av kunder ville vi på Conscia även skriva några rader här:
Det är omöjligt att helt undvika sårbarheter i mjukvaruprodukter, speciellt om programvaran förlitar sig på kod från tredje part, vilket många gör. Nyckeln är att leverantören agerar innan sårbarheterna har hunnit utnyttjats. Det är också viktigt att kunder med sårbara produkter reagerar snabbt och uppdaterar mjukvaran så fort lösningen är tillgänglig.
Under de senaste veckorna har Cisco hanterat följande sårbarheter i hård- och mjukvarulösningar:
- Cisco Wireless LAN Controller Management Interface Authentication Bypass Vulnerability
- Cisco Umbrella Virtual Appliance Static SSH host key Vulnerability
- Vulnerability in Spring Clout Function Framework Affecting Cisco Products
- Cisco IOS XR Software for ASR 9000 Series Routers Lightspeed-Plus Line Cards Denial of Service Vulnerability
- Cisco IOS XE Software NETCONF Over SSH Denial of Service Vulnerability
- Cisco SD-WAN Solution Improper Access Control Vulnerability
- Cisco SD-WAN vManage Software Privilege Escalation Vulnerability
- Cisco TelePresence Collaboration Endpoint and RoomOS Software H.323 Denial of Service Vulnerability
I april 2022 släppte Cisco 44 säkerhetsråd med medelstor eller hög påverkan. De som fick mest uppmärksamhet spåras under följande CVE:er (common vulnerabilities and exposures):
- CVE-2022-20695
- CVE-2022-22965
- CVE-2022-20773
Här följer information om dessa.
1. Cisco Wireless LAN Controller Management Interface Authentication Bypass Vulnerability
Den 13 april 2022 släppte Cisco en säkerhetsvarning om den här sårbarheten, märkt som CVE-2022-20695. Den påverkar Cisco Wireless LAN Controller (WLC) och kan ge icke autentiserade angripare möjlighet att passera autentiseringskontroller och logga in på enheten via hanteringsgränssnittet. Orsaken är en felaktiga implementering av lösenordsvalideringsalgoritmen, som gör det möjligt att passera autentiseringsprocessen på icke-standard enhetskonfigurationer. Angriparen kan senare eskalera sina privilegier upp till administrativ användare.
1.1 Berörda produkter
Berörda produkter kan spåras i det här officiella Cisco Security Advisory-inlägget, men här följer ett utdrag:
- 3504 Wireless Controller
- 5520 Wireless Controller
- 8540 Wireless Controller
- Mobility Express
- Virtual Wireless Controller (vWLC)
Sårbarheten påverkar endast produkter som körs på Cisco WLC-programvaruuppdatering 8.10.151.0 eller programvaruuppdatering 8.10.162.0 och har konfigurerad macfilter radius-kompatibilitet.
1.2 Kontrollera om era produkter är sårbara
Avgör först om dina produkter är sårbara genom att utfärda CLI-kommandot:
show macfilter summary
Om
MAC Filter RADIUS Compatibility mode
returnerar
Other
är dina produkter sårbara för en attack.
1.3 Lösningar
Det finns två olika lösningar som Cisco erbjuder olika miljöer:
Inga macfilter i miljön
a. wlc > config macfilter radius-compat cisco
Macfilter i miljön
a. wlc > config macfilter radius-compat cisco b. bwlc > config macfilter radius-compat free
Användare bör vara medvetna om att alla lösningar kan påverka nätverkets funktionalitet eller prestanda negativt. Implementera inte några lösningar eller begränsningar innan du utvärderat om dina produkter är sårbara och om sårbarheten påverkar din miljö.
1.4 Programfixar
Det finns programfixar för både organisationer med och utan serviceavtal:
- Kunder med serviceavtal får fria programuppdateringar via sina vanliga uppdateringskanaler.
- Kunder utan serviceavtal kontaktar Cisco TAC för att få programuppdateringar.
2. Cisco Umbrella Virtual Appliance Static SSH Host Key Vulnerability
Sårbarhet som spåras som CVE-2022-20773 tillåter en oautentiserad fjärrangripare att utge sig för att vara en Cisco Virtual Appliance och stjäla administratörsuppgifter på distans. Detta är möjligt på grund av en Static SSH Host Key. Genom att utföra en MITM-attack (Man-In-The-Middle) på en SSH-anslutning kan sårbarheten utnyttjas, vilket gör det möjligt att ändra konfigurationer, ladda om den virtuella enheten eller stjäla administratörsuppgifterna.
Notera att SSH inte är aktiverat som standard på Umbrella VA, vilket den här sårbarhet beror på.
2.1 Berörda produkter
Cisco rapporterar att den här sårbarhet påverkar Cisco Umbrella VA för både VMWare ESXi och Hyper-V som körs på programvaruversion äldre än 3.2.2.
2.2 Kontrollera dina produkter
För att avgöra om din produkt är sårbar måste du först fastställa din VA-version. Öppna VA i hypervisorkonsolen eller navigera till Umbrella-instrumentpanelen så här:
Implementeringar > Konfiguration > Webbplatser and Active Directory
Bestäm sedan om du har SSH aktiverat:
Login to Hypervisor Console > CTRL+B to enter configuration mode > enter command
config va show
Cisco ger ett exempel på en skärmdump som kommandot ovan ger om enheten har SSH aktiverat:
2.3 Lösningar
Det finns inga lösningar på den här sårbarheten.
2.4 Mjukvarulösningar
Det finns programfixar för både organisationer med och utan serviceavtal:
- Kunder med serviceavtal får fria programuppdateringar via sina vanliga uppdateringskanaler.
- Kunder utan serviceavtal kontaktar Cisco TAC för att få programuppdateringar.
3. Sårbarhet i Spring Framework med påverkan på Cisco-produkter
Cisco har uppdaterat spårningen av Spring Framework-sårbarhet som påverkar Cisco-produkter. Detaljerad information om den här sårbarheten finns här. Eftersom Cisco tillverkar många olika produkter kan det ta lite tid att undersöka alla produkter och avgöra om de påverkas av sårbarheten.
3.1 Påverkade produkter
Cisco ger den här tabellen på produkter som är sårbara i lanseringsversionen:
Product | Cisco Bug ID | Fixed Release Availability |
Endpoint Clients and Client Software | ||
Cisco CX Cloud Agent Software | CSCwb41735 | 2.1.0 (20 Apr 2022) |
Network Management and Provisioning | ||
Cisco Automated Subsea Tuning | CSCwb43658 | 2.1.0 (31 May 2022) |
Cisco Crosswork Network Controller | CSCwb43703 | 3.0.2 (29 Apr 2022) 2.0.2 (29 Apr 2022) |
Cisco Crosswork Optimization Engine | CSCwb43709 | 3.1.1 (1 May 2022) 2.1.1 (1 May 2022) |
Cisco Crosswork Zero Touch Provisioning (ZTP) | CSCwb43706 | 3.0.2 (29 Apr 2022) 2.0.2 (20 Apr 2022) |
Cisco DNA Center | CSCwb43650 | |
Cisco Evolved Programmable Network Manager | CSCwb43643 | 6.0.1.1 (29 Apr 2022) 5.1.4.1 (29 Apr 2022) 5.0.2.3 (29 Apr 2022) |
Cisco Managed Services Accelerator (MSX) | CSCwb43667 | 4.2.3 (27 Apr 2022) |
Cisco Optical Network Planner | CSCwb43691 | 4.2: (31 May 2022) 5.0 (30 Aug 2022) |
Cisco WAN Automation Engine (WAE) Live | CSCwb43708 | 7.5.2.1 (29 Apr 2022) 7.4.0.2 (29 Apr 2022) 7.3.0.3 (29 Apr 2022) |
Cisco WAN Automation Engine (WAE) | CSCwb43708 | 7.5.2.1 (29 Apr 2022) 7.4.0.2 (29 Apr 2022) 7.3.0.3 (29 Apr 2022) |
Data Center Network Manager (DCNM) | CSCwb43637 | 12.1.1 (30 Jun 2022) |
Nexus Dashboard Fabric Controller (NDFC) | CSCwb43637 | 12.1.1 (30 Jun 2022) |
Routing and Switching – Enterprise and Service Provider | ||
Cisco Optical Network Controller | CSCwb43692 | 2.0 (31 May 2022) |
Cisco Software-Defined AVC (SD-AVC) | CSCwb43727 | |
Voice and Unified Communications Devices | ||
Cisco Enterprise Chat and Email | CSCwb45202 | 12.0 (6 Jun 2022) 12.5 (6 Jun 2022) 12.6 ES2 (6 Jun 2022) |
Video, Streaming, TelePresence, and Transcoding Devices | ||
Cisco Meeting Server | CSCwb43662 | 3.5.0 (30 Apr 2022) 3.4.2 (31 May 2022) 3.3.3 (17 Jun 2022) |
Cisco har också en lista över produkter som bekräftats inte vara sårbara. Eftersom det kan ta lång tid att undersöka alla produkter är den här listan också viktigt. Istället för att vänta på att din produkt ska dyka upp i tabellen kan du verifiera om den har fastställts som inte sårbar. Här finns aktuell status i april 2022.
Vill du ha löpande säkerhetsuppdateringar kring ert nätverk?
Få den bästa överblicken och de mest relevanta råden direkt i Conscias prisbelönta serviceportal CNS. Se nedan och läs mer om vår CNS-portal här.
Frågor?