TRUSSELVURDERING (TLP HVIT)

[JustisCERT-varsel] [#030-2021] Kritiske sårbarheter i flere Cisco-produkter

06-05-2021

JustisCERT ønsker å varsle om en rekke sårbarheter i flere av Cisco sine produkter. Cisco publiserte 5. mai oppdateringer som retter flere av sårbarhetene, blant annet følgende 3 som er kritiske:

•    CVE-2021-1468:
En tjeneste i Cisco SD-WAN vManage Software har manglende autorisasjonskontroll på data ført inn av brukere når det operer i cluster modus [1]. Uautentiserte angripere kan utnytte dette til å utføre priviligerte handlinger på det sårbare systemet ved å sende spesielt utformede beskjeder til tjenesten. Sårbarheten har fått en CVSS score på 9.8.

•    CVE-2021-1505:
Web-grensesnittet til Cisco SD-WAN vManage Software er beskrevet å ha manglende autorisasjonskontroll på visse operasjoner [1]. Sårbarheten gjelder kun når systemet opereres i cluster modus. Dette åpner for at en autentisert angriper over internett kan oppnå privilegie-eskalering. Sårbarheten har fått en CVSS score på 9.1.

•    CVE-2021-1497:
Det er avdekket manglende validering av data fra klienter i web-grensesnittet til Cisco HyperFlex HX Installer Virtual Machine som åpner for kommando-injeksjon [2]. Dette kan resultere i at en uautentisert angriper over internett kan kjøre kommandoer som administrator (root) på det sårbare systemet. Sårbarheten har fått en CVSS score på 9.8.


Mer informasjon om alle sårbarhetene og nødvendige oppdateringer finnes på nettsidene til Cisco [3].


Berørte produkter er blant annet:
•    Cisco SD-WAN vManage Software (CVSS 9.8)
•    Cisco HyperFlex HX Software (CVSS 9.8)
•    Cisco Small Business 100, 300, 500 Series Wireless Access Points (CVSS 8.8)
•    Cisco Enterprise NFV Infrastructure Software (NFVIS) (CVSS 7.8)
•    Cisco SD-WAN Software (CVSS 7.5)
•    Cisco SD-WAN vEdge (CVSS 7.5)
•    Cisco Unified Communications Manager IM & Presence Service (CVSS 7.1)
•    Cisco AnyConnect Secure Mobility Client for Windows (CVSS 7.0)
•    Cisco Wide Area Application Services (WAAS)
•    Cisco RV340, RV340W, RV345, RV345P VPN routers
•    Cisco Video Surveillance 8000 Series IP Cameras
•    Cisco Integrated Management Controller (IMC) Software
•    Cisco HyperFlex HX Data Platform
•    Cisco AsyncOS Software:
o    Cisco Content Security Management Appliance (SMA)
o    Cisco Email Security Appliance (ESA)
o    Cisco Web Security Appliance (WSA)
•    Cisco BroadWorks Messaging Server
•    Cisco AnyConnect for Windows, MacOS, Linux
•    Cisco Webex for Windows


Anbefalinger:
•    Avinstaller programvare som ikke benyttes
•    Patch/oppdater berørte produkter
•    Prioriter systemer som kan nås fra internett først
•    Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
 
•    Ikke eksponer admingrensesnitt mot internett
•    Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
•    Ikke åpne for flere porter/tjenester/host/destination enn det som er absolutt nødvendig i brannmurer
•    Aktiver IPS-signaturer/Geo-blokking/annen beskyttelse i brannmurer som kan bidra til å beskytte internetteksponerte løsninger


Kilder:

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sd-wan-vmanage-4TbynnhZ

[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-hyperflex-rce-TjjNrkpR

[3] https://tools.cisco.com/security/center/publicationListing.x