Nylig avslørte Cisco SD-WAN-sårbarheter blir aktivt utnyttet i cyberangrep som retter seg mot virksomheters nettverksinfrastruktur. Cisco bekreftet at angripere misbruker sårbarheter som påvirker plattformen Catalyst SD-WAN Manager.

Administrasjonssystemet styrer nettverkspolicyer og trafikk i distribuerte bedriftsmiljøer. Et kompromittert system kan eksponere hele bedriftsnettverk for angripere.

Sikkerhetsteam oppfordrer nå administratorer til å oppdatere berørte systemer umiddelbart.

Sårbarheter påvirker Cisco Catalyst SD-WAN Manager

Sårbarhetene påvirker Cisco Catalyst SD-WAN Manager, tidligere kjent som vManage. Plattformen gjør det mulig for administratorer å administrere ruting, tilkoblinger og sikkerhetspolicyer i store nettverk.

Organisasjoner bruker ofte systemet til å kontrollere filialkontorer, skytilkoblinger og intern infrastruktur. Siden plattformen fungerer som et sentralt administrasjonssystem, ser angripere på den som et verdifullt mål.

Hvis trusselaktører får tilgang til kontrolleren, kan de manipulere nettverkskonfigurasjoner. De kan også endre rutingpolicyer eller avlytte trafikk som flyter gjennom nettverket.

Slik kontroll kan forstyrre virksomhetsdriften eller eksponere sensitiv informasjon.

Autentiseringsomgåelse øker risikoen

Et av de mest kritiske problemene gjelder en sårbarhet som gjør det mulig å omgå autentisering i plattformen. Feilen skyldes svakheter i systemets autentiseringsmekanismer.

Angripere kan sende manipulerte forespørsler som omgår innloggingsbeskyttelsen. Når de først er inne i miljøet, kan de få høyt nivå av tilgang til administrasjonsgrensesnittet.

Med dette tilgangsnivået kan angripere endre enhetskonfigurasjoner i hele SD-WAN-infrastrukturen. De kan også legge til uautoriserte noder eller endre hvordan nettverkstrafikken rutes.

Sikkerhetsforskere advarer om at slike handlinger kan gjøre det mulig å avlytte trafikk eller forstyrre tjenester.

Angripere har tidligere rettet seg mot SD-WAN-infrastruktur

Nettverksinfrastruktur har blitt et hyppig mål for avanserte angripere. Ved å kompromittere administrasjonssystemer får de tilgang til et stort antall tilkoblede enheter.

Trusselaktører kombinerer noen ganger flere sårbarheter for å oppnå vedvarende tilgang. Etter at de har fått kontroll, kan de endre systemkonfigurasjoner eller installere ytterligere bakdører.

I noen tilfeller forsøker angripere å nedgradere systemer til sårbare versjoner. Senere gjenoppretter de den opprinnelige versjonen for å skjule spor etter inntrengningen.

Disse teknikkene gjør det vanskeligere for forsvarere å oppdage angrepene.

Organisasjoner oppfordres til å installere sikkerhetsoppdateringer

Cisco har publisert programvareoppdateringer som retter Cisco SD-WAN-sårbarhetene og forhindrer videre utnyttelse. Administratorer bør oppgradere berørte systemer så snart som mulig.

Sikkerhetsteam bør også gjennomgå tilgangen til SD-WAN-administrasjonsgrensesnitt. Å begrense ekstern tilgang kan redusere angrepsflaten betydelig.

Overvåking av autentiseringslogger og konfigurasjonsendringer kan bidra til å oppdage mistenkelig aktivitet. Organisasjoner bør også sørge for at administrasjonssystemer isoleres fra offentlige nettverk når det er mulig.

Plattformer for nettverksadministrasjon krever strenge tilgangskontroller fordi de styrer kritisk tilkoblingsinfrastruktur.

Konklusjon

Oppdagelsen av aktivt utnyttede Cisco SD-WAN-sårbarheter viser det økende fokuset på nettverksadministrasjonssystemer. Disse plattformene styrer kritisk infrastruktur som kobler sammen bedriftsnettverk og skymiljøer.

Et vellykket angrep på administrasjonskontrolleren kan eksponere flere enheter og lokasjoner samtidig. Organisasjoner som bruker Cisco Catalyst SD-WAN bør installere de nyeste oppdateringene og gjennomgå sikkerhetskonfigurasjonene sine.

Rask patching og sterke tilgangskontroller forblir de mest effektive forsvarene mot angrep som retter seg mot nettverksinfrastruktur.


0 responses to “Cisco SD-WAN-sårbarheter utnyttes aktivt i pågående angrep”