В среду компания Cisco предупредила заказчиков о необходимости устранения уязвимости нулевого дня в программном обеспечении IOS и IOS XE, используемой злоумышленниками в реальных условиях.
Обнаруженный X.B. -2023-20109) связан с неадекватной проверкой атрибутов в протоколах Group Domain of Interpretation (GDOI) и G-IKEv2 функции GET VPN.
К счастью, для успешной эксплуатации нужно, чтобы потенциальный злоумышленник имел административный контроль либо над сервером ключей, либо над членом группы. Это означает, что злоумышленники уже проникли в среду, видя, что все коммуникации между сервером ключей и членами группы зашифрованы и аутентифицированы. , чтобы она указывала на ключевой сервер, контролируемый злоумышленником”, – объясняется в опубликованном в среду сообщении Cisco.
“Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код и получить полный контроль над пораженной системой или вызвать перезагрузку пораженной системы, что приведет к отказу в обслуживании (DoS)”.
Ошибка нулевого дня затрагивает все продукты Cisco, работающие под управлением уязвимой версии ПО IOS или IOS XE с включенным протоколом GDOI или G-IKEv2.
Продукты Meraki и продукты, работающие под управлением ПО IOS XR и NX-OS, не подвержены атакам с использованием эксплойтов CVE-2023-20109.
Эксплуатация в природных условиях
“Cisco обнаружила попытку эксплуатации функции GET VPN и произвела технический анализ кода этой функции. Эта уязвимость была обнаружена во время нашего внутреннего расследования”, – говорится в сообщении.
“Cisco по-прежнему настоятельно рекомендует заказчикам обновить программное обеспечение до исправленной версии, чтобы устранить эту уязвимость”.
В среду Cisco также выпустила исправления для критической уязвимости в API Security Assertion Markup Language Assertion Markup Language (SAML) программного обеспечения управления сетью Catalyst SD-WAN Manager.
Успешная эксплуатация позволяет не прошедшим злоумышленникам. аутентификацию удаленно получить несанкционированный доступ к приложению от имени произвольного пользователя.