近日,思科解决了一个严重的未经身份验证的REST API访问漏洞,追踪为CVE-223-20214(CVSS分数9.1),影响其SD-WAN vManage。未经身份验证的远程黑客可以利用该漏洞获得对受影响实例配置的读取权限或有限写入权限。
根据该公司的公告显示,此漏洞是由于使用REST API功能时请求验证不足造成的。黑客可以通过向受影响的vManage实例发送精心编制的API请求来利用此漏洞。成功利用此漏洞可能使黑客能够从受影响的Cisco vManage实例的配置中检索信息并将信息发送到该配置。
思科SD-WAN vManage是为思科的软件定义广域网(SD-WAN)解决方案设计的中央管理平台。SD-WAN技术用于跨多个位置连接和管理网络,与传统的WAN架构相比,提供了改进的性能、可扩展性和灵活性。思科指出,安全漏洞只影响REST API,不会影响基于web的管理界面或CLI。
该漏洞影响以下思科SD-WAN vManage版本: ▷ v20.6.3.3 – 在版本 v20.6.3.4 中修复 ▷ v20.6.4 – 在 v20.6.4.2 版本中修复 ▷ v20.6.5 – 在 v20.6.5.5 版本中修复 ▷ v20.9 – 在 v20.9.3.2 版本中修复 ▷ v20.10 – 在 v20.10.1.2 版本中修复 ▷ v20.11 – 在 v20.11.1.2 版本中修复 根据该公告,SD-WAN vManage版本20.7和20.8也受到了影响,但对于这两个版本,公司建议客户迁移到固定版本。 思科还表示,没有解决此漏洞的方法,但建议网络管理员通过以下方式减少攻击面: ▷ 使用访问控制列表 (ACL) 限制对 vManage 实例的访问。 ▷ 使用 API 密钥访问 API。 该公司还建议检查日志以检测是否能访问REST API。管理员可以使用CLI命令show log(如以下示例所示)查看vmanage-server.log文件的内容: 目前思科还未发现任何利用上述漏洞的野外攻击。
