Uma vulnerabilidade crítica explorável remotamente no software Cisco SD-WAN vManage pode permitir que invasores não autenticados recuperem informações de instâncias vulneráveis.
Rastreada como CVE-2023-20214 (pontuação CVSS de 9,1), a vulnerabilidade existe porque o recurso API REST do vManage não valida solicitações suficientemente.
A API vManage permite que os administradores configurem, controlem e monitorem os dispositivos Cisco na rede.
Um invasor pode acionar a vulnerabilidade enviando uma solicitação de API criada para uma instância vulnerável, para recuperar informações do vManage ou enviar informações para ele.
“Uma vulnerabilidade na validação de autenticação de solicitação para a API REST do software Cisco SD-WAN vManage pode permitir que um invasor remoto não autenticado obtenha permissões de leitura ou permissões limitadas de gravação para a configuração de uma instância afetada do Cisco SD-WAN vManage”, explica a Cisco em um consultor.
A interface de gerenciamento baseada na web e a CLI não são afetadas por esse defeito de segurança, explica a gigante da tecnologia.
Para procurar tentativas de acesso à API REST, os administradores são aconselhados a examinar um arquivo de log. A existência de requisições no log, porém, não indica acesso não autorizado, explica a Cisco.
A gigante da tecnologia observa que, embora não haja soluções alternativas para resolver esse bug, a implementação de listas de controle de acesso (ACLs) para limitar o acesso ao vManage mitiga o problema.
“Nas implantações hospedadas na nuvem, o acesso ao vManage é limitado por ACLs que contêm endereços IP permitidos. Os administradores de rede devem revisar e editar os endereços IP permitidos nas ACLs. Em implantações locais, o acesso ao vManage pode ser limitado de maneira semelhante usando ACLs e configurando endereços IP permitidos”, explica a Cisco.
A vulnerabilidade foi corrigida com o lançamento das versões SD-WAN vManage 20.6.3.4, 20.6.4.2, 20.6.5.5, 20.9.3.2, 20.10.1.2 e 20.11.1.2. As versões 18.3 a 20.6.3.2 não são afetadas. Os clientes que usam SD-WAN vManage versões 20.7 e 20.8 são aconselhados a migrar para uma versão corrigida.
A equipe de segurança da Cisco diz que não está ciente de que essa vulnerabilidade está sendo explorada em ataques.