CISA upozorava na tri aktivno iskorišćene Cisco SD-WAN ranjivosti
CISA je u KEV katalog dodala tri ranjivosti u Cisco Catalyst SD-WAN Manageru za koje postoji potvrda da se već koriste u napadima. Reč je o propustima koji omogućavaju otkrivanje osetljivih podataka, prepisivanje fajlova kroz API i dolazak do privilegovanog DCA pristupa. Pošto je SD-WAN Manager centralna tačka za upravljanje politikama i rutiranjem saobraćaja, uspešna zloupotreba može napadaču otvoriti put dublje u mrežu.
Pojašnjenje
Kad se kompromituje ovakav upravljački sistem, problem nije samo jedan server nego mesto sa koga se oblikuje ponašanje cele mreže. Za firme je nezgodno to što jedan skup propusta može da posluži i za izviđanje, i za podizanje privilegija, i za preuzimanje kontrole nad infrastrukturom.
Preporuke
- Hitno proveriti da li je Cisco Catalyst SD-WAN Manager izložen i da li radi na ranjivoj verziji
- Primeni Cisco zakrpe i pratiti njihove smernice za hunt i hardening
- Pregledati logove i sistemske tragove za sumnjive API pozive, izmene fajlova i neobične administratorske aktivnosti
- Ograničiti pristup management interfejsima i izdvojiti ih od javno dostupnih mreža
- Rotirati lozinke i proveriti da li su kompromitovani nalozi ili DCA kredencijali