Cisco schließt kritische Lücke in SD-WAN vManage
Cisco warnt vor einer kritischen Schwachstelle in SD-WAN vManage, die Angreifern aus dem Netz die Übernahme verwundbarer Systeme ermöglicht.
Cisco veröffentlicht Updates, die eine kritische Sicherheitslücke in der SD-WAN vManage-Software schließen. Die US-Cyber-Sicherheitsbehörde CISA warnt, dass Angreifer aus dem Netz die Lücke missbrauchen können, um die vollständige Kontrolle über betroffene Systeme zu ergattern.
Der Hersteller Cisco erklärt in der Sicherheitsmeldung, dass ein Fehler bei der Authentifizierung von Anfragen an die REST-API von Ciscos SD-WAN vManage problematisch ist. Er gewähre nicht authentifizierten Angreifern aus dem Netz Leserechte oder eingeschränkte Schreibzugriffe auf die Konfiguration betroffener Instanzen (CVE-2023-20214, CVSS 9.1, Risiko "kritisch").
Cisco-Lücke: REST-API betroffen
Das Unternehmen erklärt, dass weder die webbasierte Verwaltungsschnittstelle noch die Kommandozeilen betroffen seien, sondern ausschließlich die REST-API. Da es keinen Workaround für die Lücke gibt, ist die API jedoch standardmäßig aktiv und lässt sich nicht deaktivieren. IT-Verantwortliche können in den Protokolldateien Zugriffsversuche auf die REST-API finden. Allerdings müssen sie selbst abwägen, ob die Zugriffe legitim sind; ein Zugriff allein bedeutet noch nicht, dass ein Missbrauch der Lücke stattgefunden habe. Das betreffende Log lasse sich mit dem Befehl show log /var/log/nms/vmanage-server.log
einsehen. Einträge der Art Request Stored in Map is (/dataservice/client/server) for user (admin)
deuten Cisco zufolge auf REST-API-Zugriffe.
Um die Gefahr abzumildern, empfiehlt Cisco die Nutzung von Access Control Lists (ACL) zur Zugriffskontrolle in den vManage-Instanzen. Idealerweise sollen Administratorinnen und Administratoren jedoch aktualisierte Software installieren. Ciscos SD-WAN vManage ist ab Version 2.6.3.3 bis einschließlich 20.11 verwundbar. Die Versionen 20.6.3.4, 20.6.4.2, 20.6.5.5, 20.9.3.2, 20.10.1.2 sowie 20.11.1.2 dichten das Sicherheitsleck ab. Wer noch vManage 20.7 oder 20.8 einsetze, solle auf eines der vorgenannten Releases mit Fix migrieren.
Vergangene Woche wurde eine Sicherheitslücke in Ciscos Nexus-9000-Geräten bekannt. Angreifer können dadurch verschlüsselten Verkehr lesen und verändern – ein Update oder einen Workaround gibt es jedoch nicht.
(dmk)