Η Cisco προειδοποιεί για ένα σφάλμα που επιτρέπει στους επιτιθέμενους να παραβιάσουν το traffic encryption!
Η Cisco προειδοποίησε σήμερα τους πελάτες της για μια ευπάθεια υψηλής σοβαρότητας που επηρεάζει ορισμένα μοντέλα data center switch, επιτρέποντας στους επιτιθέμενους να αλλοιώσουν την κρυπτογραφημένη κυκλοφορία.
Δείτε επίσης: Cisco: Προειδοποιεί για κρίσιμα σφάλματα switch με δημόσιο κώδικα εκμετάλλευσης
Το ελάττωμα εντοπίστηκε ως CVE-2023-20185 και εντοπίστηκε κατά τη διάρκεια εσωτερικών δοκιμών ασφαλείας της λειτουργίας κρυπτογράφησης ACI Multi-Site CloudSec στα Cisco Nexus 9000 Series Fabric Switches για κέντρα δεδομένων.
Δείτε επίσης: Η Cisco διόρθωσε ένα σφάλμα στο AnyConnect που έδινε προνόμια Windows SYSTEM
Η ευπάθεια επηρεάζει μόνο τα switches Cisco Nexus 9332C, 9364C και 9500 spine (οι τελευταίοι εξοπλισμένοι με Line Card Cisco Nexus N9K-X9736C-FX) μόνο εάν βρίσκονται σε ACI mode, αποτελούν μέρος μιας τοπολογίας Multi-Site, έχουν ενεργοποιημένη τη δυνατότητα κρυπτογράφησης CloudSec και εκτελούν firmware 14.0 και νεότερες εκδόσεις.
Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να διαβάσουν ή να τροποποιήσουν από απόσταση το intersite encrypted traffic που ανταλλάσσεται μεταξύ των site.
Δεν υπάρχουν επιδιορθώσεις και δεν υπάρχουν ενδείξεις ενεργού exploitation
Η Cisco δεν έχει ακόμη εκδώσει ενημερώσεις λογισμικού για την επίλυση της ευπάθειας CVE-2018-20185. Συνιστάται στους πελάτες που χρησιμοποιούν επηρεαζόμενα data center switches να απενεργοποιήσουν την ευάλωτη λειτουργία και να ζητήσουν καθοδήγηση από τον οργανισμό υποστήριξής τους για τη διερεύνηση εναλλακτικών λύσεων.
Για να διαπιστώσετε εάν η κρυπτογράφηση CloudSec χρησιμοποιείται σε μια τοποθεσία ACI, μεταβείτε στην ενότητα Infrastructure > Site Connectivity > Configure > Sites > site-name > Inter-Site Connectivity στο Cisco Nexus Dashboard Orchestrator (NDO) και ελέγξτε εάν η επιλογή “CloudSec Encryption” έχει επισημανθεί ως “Enabled”.
Για να ελέγξετε αν η κρυπτογράφηση CloudSec είναι ενεργοποιημένη σε ένα μεταγωγέα Cisco Nexus 9000 Series, εκτελέστε την εντολή “show cloudsec sa interface all” μέσω της γραμμής εντολών του switch. Εάν επιστρέφει την ένδειξη “Operational Status” για οποιαδήποτε διασύνδεση, η κρυπτογράφηση CloudSec είναι ενεργοποιημένη.
Δείτε επίσης: AnyConnect: Κυκλοφόρησε PoC για το σφάλμα Cisco που δίνει προνόμια SYSTEM
Η Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας Προϊόντων (PSIRT) της εταιρείας δεν έχει ακόμη βρει στοιχεία για δημόσιο κώδικα εκμετάλλευσης που να στοχεύει στο σφάλμα ή ότι το ελάττωμα έχει χρησιμοποιηθεί σε επιθέσεις.
Τον Μάιο, αντιμετώπισε επίσης τέσσερις κρίσιμες αδυναμίες απομακρυσμένης εκτέλεσης κώδικα με δημόσια διαθέσιμο κώδικα εκμετάλλευσης που επηρέαζε πολλαπλά Switches της σειράς Small Business.
Η Cisco εργάζεται επίσης για την επιδιόρθωση ενός σφάλματος cross-site scripting (XSS) στο εργαλείο διαχείρισης του διακομιστή Prime Collaboration Deployment (PCD), όπως ανέφερε ο Pierre Vivegnis του Κέντρου Κυβερνοασφάλειας του ΝΑΤΟ (NCSC).
Πηγή πληροφοριών: bleepingcomputer.com
