思科SDS-WAN管理曝高危漏洞

發布時間 2023-07-18

近日,思科發布安全報告稱,已經解決了一個關鍵的未經認證的RESTAPI訪問漏洞,漏洞編號CV-2023-20214(cvss得分9.1)。該漏洞會影響思科SDS-WAN管理軟件,允許攻擊者發起遠程攻擊,并且可以獲得設備的讀寫權限或限制寫入權限。

SD-WAN是近幾年推出的新方案,正在成為未來的發展趨勢之一。SD-WAN,即軟件定義廣域網絡,是將SDN技術應用到廣域網場景中所形成的一種服務。這種服務用于連接廣闊地理范圍的企業網絡、數據中心、互聯網應用及云服務,旨在幫助用戶降低廣域網的開支和提高網絡連接靈活性。

思科安全公告稱,該漏洞是由于使用其他API特性時請求驗證不足。攻擊者可以通過向受影響的SD-WAN管理設備發送精心制作的API請求來利用這個漏洞,并從設備中獲取敏感信息。

思科進一步強調,該漏洞安全性缺陷只會影響其他API,不會影響基于網絡的管理界面或CLI。受影響的SD-WAN管理版本如下:

  • v20.6.3.3 – fixed with the release v20.6.3.4

  • v20.6.4 – fixed with the release v20.6.4.2

  • v20.6.5 – fixed with the release v20.6.5.5

  • v20.9 – fixed with the release v20.9.3.2

  • v20.10 – fixed with the release v20.10.1.2

  • v20.11 – fixed with the release v20.11.1.2

從思科發布的安全報告可以得知,SD-WAN管理版本20.7和20.8也會遭受影響,對于這些版本的更新,思考建議用戶遷移至固定版本。

思科建議企業網絡管理員通過以下方式減少攻擊面:

  • 使用訪問控制列表(ACLS)限制對SD-WAN管理實例的訪問;

  • 使用API鍵訪問API;

  • 檢查日志,以檢測訪問其他API的嘗試。