W połowie sierpnia firma udostępniła blisko 30 biuletynów bezpieczeństwa, opisujących luki w wielu jej produktach – w tym m.in. w popularnych rozwiązaniach Cisco SD-WAN oraz DNA Center. Co ważne, w ich przypadku mamy do czynienia z tzw. błędami krytycznymi. Przedstawiciele Cisco uspokajają, że wszystkie opisane problemy są już rozwiązane, a użytkownicy mogą zainstalować stosowne poprawki.
Najpoważniejszy błąd (oceniono go na 9.3 punktu w 10-stopniowej skali Common Vulnerability Scoring System rating) znaleziono w oprogramowaniu do administrowania i kontroli dostępu do zasobów sieciowych Digital Network Architecture (DNA) Center – pozwalał on nieautoryzowanym użytkownikom na podłączanie do lokalnej podsieci nieautoryzowanych urządzeń. Teoretycznie więc umożliwiał intruzom uzyskanie dostępu do chronionych zasobów i usług. Z oficjalnych deklaracji wynika, że tak istotną lukę odkryli pracownicy Cisco podczas rutynowych testów bezpieczeństwa. Błąd występuje w wersjach Cisco DNA Center Software starszych niż 1.3.
Druga pod względem poziomu zagrożenia luka – 7,8 punktu w skali CVVS – to błąd w interfejsie linii komend oprogramowania Cisco SD-WAN Solution, pozwalający użytkownikom na tzw. eskalację przywilejów, a co za tym idzie nieautoryzowane uzyskanie wyższych uprawnień od faktycznie przyznanych, w tym uprawnień administracyjnych. Przedstawiciele Cisco wyjaśnili, że podatność ta wynikała z nie dość restrykcyjnych ustawień procesu uwierzytelniania i że problem dotyczy całej gamy produktów firmy, w których wykorzystywano Cisco SD-WAN Solution w wersjach starszych niż 18.3.6, 18.4.1 oraz 19.1.0 – są to m.in. vBond Orchestrator, routery z serii vEdge 100/1000/2000/5000, platforma vEdge Cloud Router Platform, a także oprogramowanie vManage Network Management oraz vSmart Controller.
Oprócz opisanych powyżej luk wykryto i załatwno również dwa błędy opisywane jako „poważne” – jest to stopień zagrożenia o jeden poziom niższy niż „krytyczny”. Wśród nich znalazł się błąd w rozwiązaniu Cisco D-WAN, który również umożliwiał eskalację przywilejów. Wśród innych usuniętych niedawno podatności warto wymienić m.in. błędy w:
• implementacji protokołu Cisco Discovery Protocol (CDP) w oprogramowaniu Cisco TelePresence Codec (TC) oraz Collaboration Endpoint (CE); pozwalały one na wykonanie komend z uprawnieniami wyższymi niż te, które dany użytkownik faktycznie posiadał.
• mechanizmie odpowiedzialnym za wewnętrzne przetwarzanie pakietów w systemie operacyjnym Cisco StarOS. Wykryta luka umożliwiała nieautoryzowane zatrzymanie procesu przetwarzania ruchu sieciowego i mogła zostać wykorzystana np. do przeprowadzenia ataku DDoS.
• webowym interfejsie administracyjnym rozwiązań Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router oraz RV215W Wireless-N VPN Router; luka pozwalała zdalnemu użytkownikowi na zakłócenie pracy urządzenia.
Wszystkie biuletyny bezpieczeństwa znaleźć można na stronie Cisco: https://tools.cisco.com/security/center/publicationListing.x. Firma udostępniła też niezbędne poprawki oraz instrukcje dotyczące ich instalowania – znaleźć je można tutaj: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html#fixes
