近日思科發佈安全報告表示解決一個關鍵的未經認證的REST API存取漏洞,漏洞編號CVE-2023-20214(CVSS評分9.1分)。該漏洞會影響思科SD-WAN vManage,允許攻擊者發起遠端攻擊,並且可以獲得設備的讀寫許可權或限制寫入許可權。
思科安全公告稱,該漏洞是使用 REST API 功能時請求驗證不足造成的。攻擊者可以透過向受漏洞影響的SD-WAN設備發送惡意API請求來利用這個漏洞,並從設備中獲取機敏資訊。思科進一步強調,該漏洞安全性缺陷只會影響其他API,不會影響基於網路的管理介面或CLI。思科 PSIRT 尚未發現任何利用該漏洞的攻擊。
受影響的SD-WAN vManage 版本:
- v20.6.3.3 – fixed with the release v20.6.3.4
- v20.6.4 – fixed with the release v20.6.4.2
- v20.6.5 – fixed with the release v20.6.5.5
- v20.9 – fixed with the release v20.9.3.2
- v20.10 – fixed with the release v20.10.1.2
- v20.11 – fixed with the release v20.11.1.2
從思科發佈的安全報告可以得知,SD-WAN vManage 版本20.7和20.8也會遭受影響。但對於這些版本,思考建議用戶遷移至固定版本。
思科建議企業網路系統管理員採用以下方式減少攻擊面:
- 使用存取控制列表(ACLS)限制對SD-WAN vManage的存取;
- 使用API密鑰存取API;
- 檢查日誌,確保存取REST API的嘗試是正常行為。
本文轉載自Securityaffairs。