Nyligen avslöjade Cisco SD-WAN-sårbarheter utnyttjas aktivt i cyberattacker som riktar sig mot företags nätverksinfrastruktur. Cisco bekräftade att angripare missbrukar sårbarheter som påverkar plattformen Catalyst SD-WAN Manager.

Hanteringssystemet styr nätverkspolicys och trafik i distribuerade företagsmiljöer. Ett intrång i detta system kan exponera hela företagsnätverk för angripare.

Säkerhetsteam uppmanar nu administratörer att omedelbart uppdatera berörda system.

Sårbarheter påverkar Cisco Catalyst SD-WAN Manager

Sårbarheterna påverkar Cisco Catalyst SD-WAN Manager, tidigare känt som vManage. Plattformen gör det möjligt för administratörer att hantera routing, anslutningar och säkerhetspolicys i stora nätverk.

Organisationer använder ofta systemet för att kontrollera filialkontor, molnanslutningar och intern infrastruktur. Eftersom plattformen fungerar som ett centralt hanteringssystem ser angripare den som ett värdefullt mål.

Om hotaktörer får tillgång till kontrollern kan de manipulera nätverkskonfigurationer. De kan också ändra routingregler eller avlyssna trafik som passerar genom nätverket.

En sådan kontroll kan störa verksamheten eller exponera känslig data.

Autentiseringsbypass ökar risken

Ett av de mest kritiska problemen gäller en sårbarhet som gör det möjligt att kringgå autentisering i plattformen. Felet beror på svagheter i systemets autentiseringsmekanismer.

Angripare kan skicka manipulerade förfrågningar som kringgår inloggningsskyddet. När de väl befinner sig i miljön kan de få hög behörighet i administrationsgränssnittet.

Med denna nivå av åtkomst kan angripare ändra enhetskonfigurationer i hela SD-WAN-infrastrukturen. De kan även lägga till obehöriga noder eller ändra hur nätverkstrafik dirigeras.

Säkerhetsforskare varnar för att sådana åtgärder kan möjliggöra trafikavlyssning eller störningar i tjänster.

Angripare har tidigare riktat sig mot SD-WAN-infrastruktur

Nätverksinfrastruktur har blivit ett allt vanligare mål för avancerade angripare. Genom att kompromettera hanteringssystem kan de få åtkomst till ett stort antal anslutna enheter.

Hotaktörer kombinerar ibland flera sårbarheter för att få långvarig åtkomst. Efter att ha tagit kontroll kan de ändra systemkonfigurationer eller installera ytterligare bakdörrar.

I vissa fall försöker angripare nedgradera system till sårbara versioner. Därefter återställer de den ursprungliga versionen för att dölja spår av intrånget.

Dessa tekniker gör det svårare för försvarare att upptäcka attackerna.

Organisationer uppmanas installera säkerhetsuppdateringar

Cisco har släppt programuppdateringar som åtgärdar Cisco SD-WAN-sårbarheterna och förhindrar fortsatt exploatering. Administratörer bör uppgradera berörda system så snart som möjligt.

Säkerhetsteam bör också granska åtkomsten till SD-WAN-hanteringsgränssnitt. Att begränsa extern åtkomst kan minska attackytan avsevärt.

Övervakning av autentiseringsloggar och konfigurationsändringar kan hjälpa till att upptäcka misstänkt aktivitet. Organisationer bör också se till att hanteringssystem isoleras från publika nätverk när det är möjligt.

Plattformar för nätverkshantering kräver strikt åtkomstkontroll eftersom de hanterar kritisk anslutning.

Slutsats

Upptäckten av aktivt exploaterade Cisco SD-WAN-sårbarheter visar den ökande fokuseringen på system för nätverkshantering. Dessa plattformar styr kritisk infrastruktur som kopplar samman företagsnätverk och molnmiljöer.

En lyckad attack mot hanteringskontrollern kan exponera flera enheter och platser samtidigt. Organisationer som använder Cisco Catalyst SD-WAN bör installera de senaste uppdateringarna och granska sina säkerhetsinställningar.

Snabb patchning och starka åtkomstkontroller är fortfarande de mest effektiva skydden mot attacker som riktar sig mot nätverksinfrastruktur.


0 svar till ”Cisco SD-WAN-sårbarheter utnyttjas aktivt i pågående attacker”