Nyligt afslørede Cisco SD-WAN-sårbarheder bliver aktivt udnyttet i cyberangreb, der retter sig mod virksomheders netværksinfrastruktur. Cisco bekræftede, at angribere misbruger sårbarheder, som påvirker platformen Catalyst SD-WAN Manager.
Administrationssystemet styrer netværkspolitikker og trafik på tværs af distribuerede virksomhedsmiljøer. Hvis dette system kompromitteres, kan hele virksomhedens netværk blive eksponeret for angribere.
Sikkerhedsteams opfordrer nu administratorer til straks at opdatere berørte systemer.
Sårbarheder påvirker Cisco Catalyst SD-WAN Manager
Sårbarhederne påvirker Cisco Catalyst SD-WAN Manager, tidligere kendt som vManage. Platformen gør det muligt for administratorer at styre routing, forbindelser og sikkerhedspolitikker på tværs af store netværk.
Organisationer bruger ofte systemet til at kontrollere filialkontorer, cloudforbindelser og intern infrastruktur. Da platformen fungerer som et centralt administrationssystem, betragter angribere den som et værdifuldt mål.
Hvis trusselsaktører får adgang til controlleren, kan de manipulere netværkskonfigurationer. De kan også ændre routingpolitikker eller opsnappe trafik, der passerer gennem netværket.
En sådan kontrol kan forstyrre forretningsdriften eller eksponere følsomme data.
Autentificeringsomgåelse øger risikoen
Et af de mest alvorlige problemer omfatter en sårbarhed, der gør det muligt at omgå autentificering i platformen. Fejlen skyldes svagheder i systemets autentificeringsmekanismer.
Angribere kan sende manipulerede forespørgsler, som omgår loginbeskyttelsen. Når de først er inde i miljøet, kan de få højt niveau af adgang til administrationsgrænsefladen.
Med dette adgangsniveau kan angribere ændre enhedskonfigurationer i hele SD-WAN-infrastrukturen. De kan også tilføje uautoriserede noder eller ændre, hvordan netværkstrafik dirigeres.
Sikkerhedsforskere advarer om, at sådanne handlinger kan gøre det muligt at opsnappe trafik eller forstyrre tjenester.
Angribere har tidligere målrettet SD-WAN-infrastruktur
Netværksinfrastruktur er blevet et hyppigt mål for avancerede angribere. Ved at kompromittere administrationssystemer kan de få adgang til et stort antal tilsluttede enheder.
Trusselsaktører kombinerer nogle gange flere sårbarheder for at opnå vedvarende adgang. Efter at have fået kontrol kan de ændre systemkonfigurationer eller installere yderligere bagdøre.
I nogle tilfælde forsøger angribere at nedgradere systemer til sårbare versioner. Senere gendanner de den oprindelige version for at skjule spor efter indtrængningen.
Disse teknikker gør det sværere for forsvarere at opdage angrebene.
Organisationer opfordres til at installere sikkerhedsopdateringer
Cisco har udgivet softwareopdateringer, der retter Cisco SD-WAN-sårbarhederne og forhindrer yderligere udnyttelse. Administratorer bør opgradere berørte systemer så hurtigt som muligt.
Sikkerhedsteams bør også gennemgå adgangen til SD-WAN-administrationsgrænseflader. Begrænsning af ekstern adgang kan reducere angrebsfladen betydeligt.
Overvågning af autentificeringslogfiler og konfigurationsændringer kan hjælpe med at opdage mistænkelig aktivitet. Organisationer bør også sikre, at administrationssystemer isoleres fra offentlige netværk, når det er muligt.
Platforme til netværksadministration kræver strenge adgangskontroller, fordi de styrer kritisk netværksforbindelse.
Konklusion
Opdagelsen af aktivt udnyttede Cisco SD-WAN-sårbarheder understreger den stigende interesse for netværksadministrationssystemer. Disse platforme styrer kritisk infrastruktur, der forbinder virksomhedsnetværk og cloudmiljøer.
Et vellykket angreb på administrationscontrolleren kan eksponere flere enheder og lokationer på én gang. Organisationer, der bruger Cisco Catalyst SD-WAN, bør installere de nyeste opdateringer og gennemgå deres sikkerhedskonfigurationer.
Hurtig patching og stærke adgangskontroller er fortsat de mest effektive forsvar mod angreb, der retter sig mod netværksinfrastruktur.


0 svar til “Cisco SD-WAN-sårbarheder udnyttes aktivt i igangværende angreb”