เมนู

Cisco เผยช่องโหว่ใน Catalyst SD-WAN Manager
ส่งผลให้เข้าถึงระบบจากระยะไกล

2023-09-29 Cisco SD-WAN-300
Cisco ประกาศเตือนช่องโหว่ระดับวิกฤตใหม่ 5 รายการ ส่งผลกระทบกับผลิตภัณฑ์ Catalyst SD-WAN Manager ก่อให้เกิดการเข้าถึงเซิร์ฟเวอร์จากระยะไกลโดยไม่จำเป็นต้องยืนยันตัวตน
 
Cisco Catalyst SD-WAN Manager for WAN เป็นซอฟต์แวร์ที่ใช้ในการบริหารจัดการระบบเครือข่ายที่ทำให้ผู้บริหารระบบมองเครือข่ายเห็นเป็นภาพ (Visualize) บริหารจัดการอุปกรณ์ต่างๆ ในระบบ WAN ได้อย่างมีประสิทธิภาพ
 
ช่องโหว่ที่ค้นพบในครั้งนี้ส่งผลกระทบ คือ CVE-2023-20252 ( 9.8 ) ซึ่งยินยอมให้เข้าถึงระบบได้โดยไม่ต้องยืนยันตัวตนและมีความเกี่ยวข้องกับ Security Assertion Markup Language (SAML) APIs ส่งผลให้ผู้โจมตีจากระยะไกลสามารถเข้าถึง Application ได้ในฐานะผู้ลักลอบเข้าใช้ระบบโดยไม่ต้องยืนยันตัวตน
 
ช่องโหว่ CVE-2023-20252 นี้จะอาศัยประโยชน์จากการส่ง Request ที่สร้างขึ้นมาเฉพาะตรงไปยัง SAML API เพื่อสร้าง Authorization Token ปลอม และทำให้สามารถเข้าถึงแอปพลิเคชั่นได้โดยปราศจากเงื่อนไข เป็นการแอบอ้างเป็นผู้ใช้งานเพื่อเข้าถึง/แก้ไข/ลบข้อมูลที่ไม่ได้รับอนุญาต รวมถึงอาจก่อให้เกิดการหยุดชะงักของบริการได้
นอกจากนี้ ยังมีช่องโหว่อื่นอีก 4 รายการ ได้แก่
  • CVE-2023-20253 (8.4) ช่องโหว่ CLI ในการเรียกคืนค่า Configutation โดยปราศจากสิทธิ์
  • CVE-2023-20034 (7.5) ช่องโหว่ที่เปิดเผยข้อมูลการควบคุมการเขาถึงของ Elasticsearch
  • CVE-2023-20254 (7.2) ช่องโหว่ที่ข้ามผ่านการตรวจสอบตัวตนในระบบ Session Management (เมื่อเปิดใช้งานฟีเจอร์ Multi-Tenant)
  • CVE-2023-20262 (5.3) ช่องโหว่ประเภท DoS ในบริการ SSH (กระทบ SSH Access เท่านั้น)
จากช่องโหว่ทั้ง 4 รายการข้างต้น พบว่า ช่องโหว่ CVE-2023-20034 เป็นรายการที่เลวร้ายที่สุด โดยสามารถเข้าใช้งานจากระยะไกลได้โดยปราศจากการยืนยันตัวตน ซึ่งสามารถลดความรุนแรงลงได้โดยการจำกัดการเข้าถึงฐานข้อมูลของ Elasticsearch ให้มีสิทธิเป็นเพียงผู้ใช้งาน (Elasticsearch User) เท่านั้น
 
ช่องโหว่ทั้ง 5 รายการส่งผลกระทบกับ Cisco Catalyst SD-WAN Manager หลายเวอร์ชั่น ซึ่งก่อให้เกิดผลกระทบและจำเป็นต้องอัปเกรด ดังนี้
ทั้งนี้ ช่องโหว่ CVE-2023-20252 เป็นรายการที่ส่งผลกระทบกับซอฟต์แวร์เวอร์ชั่น 20.9.3.2 และ 20.11.1.2 โดยไม่ส่งผลกระทบกับเวอร์ชั่นก่อนหน้านั้น (20.9 และ 20.11) จึงจำเป็นต้องได้รับการแก้ไขโดยด่วนที่สุด
 
สำหรับ Catalyst SD-WAN Manager เวอร์ชั่น 20.12 (ล่าสุด) นั้น ไม่ได้รับผลกระทบจากช่องโหว่ข้างต้น เว้นเพียงรายการเดียว (CVE-2023-20262) ที่มีความรุนแรงระดับปลานกลางและควรอัปเกรดไปเป็นเวอร์ชั่น 20.12.1 โดยทันที เพื่อความปลอดภัยสูงสุด
 
Cisco มิได้เผยแพร่แนวทางการแก้ไขชั่วคราว ดังนั้น จึงแนะนำให้ทำการอัพเดทแพตซ์โดยทันที ในขณะที่ซอฟต์แวร์ IOS XE, SD-WAN cEdge Router และ SD-WAN vEdge Router ยังไม่ปรากฎรายงานช่องโหว่
 
แม้ในขณะนี้จะยังไม่ปรากฎรายงานถึงการนำช่องโหว่ต่างๆ ข้างต้นยังไปใช้ประโยชน์ แต่ก็ควรเร่งดำเนินการอัปเกรดซอฟต์แวร์ขึ้นเป็นเวอร์ชั่นที่ได้รับการปรับปรุงแก้ไขแล้วโดยด่วน