El software de administración Cisco SD-WAN vManage se ve afectado por una falla que permite a un atacante remoto no autenticado obtener permisos de lectura o escritura limitada para la configuración de la instancia afectada.
Cisco SD-WAN vManage es una solución basada en la nube que permite a las organizaciones diseñar, implementar y administrar redes distribuidas en múltiples ubicaciones.
Las instancias de vManage son implementaciones que pueden servir en la administración centralizada de la red, la configuración de VPN, la orquestación de SD-WAN, la implementación de la configuración de dispositivos, la aplicación de políticas, etc.
Cisco publicó ayer un boletín de seguridad informando de una vulnerabilidad de gravedad crítica en la validación de autenticación de solicitudes para la API REST del software Cisco SD-WAN vManage, rastreado como CVE-2023-20214.
El error se debe a una validación de solicitud insuficiente cuando se utiliza la característica API de REST, que se puede explotar mediante el envío de una solicitud de API especialmente diseñada a las instancias de vManage afectadas.
Esto podría permitir a los atacantes leer información confidencial del sistema comprometido, modificar ciertas configuraciones, interrumpir las operaciones de red y más.
«Un exploit exitoso podría permitir al atacante recuperar información y enviar información a la configuración de la instancia afectada de Cisco vManage», se lee en el boletín de Cisco.
«Esta vulnerabilidad solo afecta a la API REST y no afecta a la interfaz de administración basada en web ni a la CLI».
Correcciones y soluciones provisionales
Las versiones de Cisco SD-WAN vManage afectadas por CVE-2023-20214 son:
- v20.6.3.3 – Corregido en v20.6.3.4
- v20.6.4 – Corregido en v20.6.4.2
- v20.6.5 – Corregido en v20.6.5.5
- v20.9 – corregido en v20.9.3.2
- v20.10 – corregido en v20.10.1.2
- v20.11 – corregido en v20.11.1.2
Además, las versiones 20.7 y 20.8 de Cisco SD-WAN vManage también se ven afectadas, pero no se lanzarán correcciones para esas dos, por lo que se recomienda a sus usuarios que migren a una versión diferente.
Las versiones entre 18.x y 20.x no mencionadas en la lista anterior no se ven afectadas por CVE-2023-20214.
Cisco dice que no hay soluciones para esta vulnerabilidad; Sin embargo, hay formas de reducir significativamente la superficie de ataque.
Se recomienda a los administradores de red que utilicen listas de acceso de control (ACL) que limiten el acceso a las instancias de vManage solo a las direcciones IP especificadas, cerrando la puerta a los atacantes externos.
Otra medida de seguridad sólida es el uso de claves API para acceder a las API, una recomendación general de Cisco, pero no un requisito estricto para las implementaciones de vManage.
Los administradores también reciben instrucciones de supervisar los registros para detectar intentos de acceso a la API de REST, lo que indica una posible explotación de vulnerabilidades.
Para ver el contenido del archivo vmanage-server.log, utilice el comando «vmanage# show log /var/log/nms/vmanage-server.log».
Fuente y redacción: under0de.org