Cisco закликає адміністраторів усунути вразливість нульового дня в ПЗ IOS, використовувану в атаках

У середу компанія Cisco попередила замовників про необхідність усунення вразливості нульового дня в програмному забезпеченні IOS і IOS XE, використовуваної зловмисниками в реальних умовах.

Виявлений X. B. з Cisco Advanced Security Initiatives Group (ASIG), цей недолік безпеки середнього ступеня тяжкості (CVE-2023-20109) пов’язаний із неадекватною перевіркою атрибутів у протоколах Group Domain of Interpretation (GDOI) і G-IKEv2 функції GET VPN.

На щастя, для успішної експлуатації потрібно, щоб потенційний зловмисник мав адміністративний контроль або над сервером ключів, або над членом групи. Це означає, що зловмисники вже проникли в середовище, бачачи, що всі комунікації між сервером ключів і членами групи зашифровані й аутентифіковані.

“Зловмисник може скористатися цією вразливістю, скомпрометувавши встановлений ключовий сервер або змінивши конфігурацію члена групи таким чином, щоб вона вказувала на ключовий сервер, контрольований зловмисником”, – пояснюється в опублікованому в середу повідомленні Cisco.

“Успішна експлуатація може дозволити зловмиснику виконати довільний код і отримати повний контроль над ураженою системою або викликати перезавантаження ураженої системи, що призведе до відмови в обслуговуванні (DoS)”.

Помилка нульового дня зачіпає всі продукти Cisco, що працюють під управлінням вразливої версії ПЗ IOS або IOS XE з увімкненим протоколом GDOI або G-IKEv2.

Продукти Meraki і продукти, що працюють під управлінням ПЗ IOS XR і NX-OS, не схильні до атак із використанням експлойтів CVE-2023-20109.

Експлуатація в природних умовах

Незважаючи на широкий доступ до цільового середовища, необхідний для успішної експлуатації цієї вразливості, компанія в тому ж повідомленні повідомила, що загрозливі суб’єкти вже почали використовувати її в атаках.

“Cisco виявила спробу експлуатації функції GET VPN і провела технічний аналіз коду цієї функції. Цю вразливість було виявлено під час нашого внутрішнього розслідування”, – ідеться в повідомленні.

“Cisco, як і раніше, настійно рекомендує замовникам оновити програмне забезпечення до виправленої версії, щоб усунути цю вразливість”.

У середу Cisco також випустила виправлення для критичної уразливості в API Security Assertion Markup Language Assertion Markup Language (SAML) програмного забезпечення управління мережею Catalyst SD-WAN Manager.

Успішна експлуатація дає змогу зловмисникам, які не пройшли аутентифікацію, віддалено отримати несанкціонований доступ до застосунку від імені довільного користувача.