Cisco SD-WAN vManage が認証されていない REST API アクセスによる影響を受ける

Cisco SD-WAN vManage 管理ソフトウェアは、認証されていないリモート攻撃者が、影響を受けるインスタンスの設定に対する読み取りまたは限定的な書き込み権限を取得できる欠陥の影響を受けています。

Cisco SD-WAN vManage は、組織が複数の場所にわたる分散ネットワークを設計、導入、管理できるようにするクラウドベースのソリューションです。

vManage インスタンスは、集中ネットワーク管理、VPN のセットアップ、SD-WAN オーケストレーション、デバイス構成の展開、ポリシーの適用などに機能する展開です。

シスコは昨日、CVE-2023-20214 として追跡される、Cisco SD-WAN vManage ソフトウェアの REST API のリクエスト認証検証における重大度の重大な脆弱性を通知するセキュリティ情報を公開しました。

この欠陥は、REST API 機能を使用する際のリクエスト検証が不十分なことが原因で発生し、特別に作成された API リクエストを影響を受ける vManage インスタンスに送信することで悪用される可能性があります。

これにより、攻撃者は侵害されたシステムから機密情報を読み取ったり、特定の構成を変更したり、ネットワーク操作を中断したりできる可能性があります。

「エクスプロイトが成功すると、攻撃者は影響を受ける Cisco vManage インスタンスの構成から情報を取得したり、その構成に情報を送信したりできる可能性があります」とCisco の速報には記載されています。

「この脆弱性は REST API にのみ影響し、Web ベースの管理インターフェイスや CLI には影響しません。」

修正と回避策

CVE-2023-20214 の影響を受ける Cisco SD-WAN vManage リリースは次のとおりです。

• v20.6.3.3 – v20.6.3.4 で修正されました
• v20.6.4 – v20.6.4.2 で修正されました
• v20.6.5 – v20.6.5.5 で修正されました
• v20.9 – v20.9.3.2 で修正されました
• v20.10 – v20.10.1.2 で修正されました
• v20.11 – v20.11.1.2 で修正されました

さらに、Cisco SD-WAN vManage バージョン 20.7 および 20.8 も影響を受けますが、これら 2 つのバージョンに対する修正はリリースされないため、ユーザーは別のリリースに移行することをお勧めします。

上記のリストに記載されていない 18.x と 20.x の間のバージョンは、CVE-2023-20214 の影響を受けません。

シスコは、この脆弱性に対する回避策はないと述べています。ただし、攻撃対象領域を大幅に減らす方法はあります。

ネットワーク管理者は、vManage インスタンスへのアクセスを指定された IP アドレスのみに制限し、外部攻撃者への扉を遮断するコントロール アクセス リスト (ACL) を使用することをお勧めします。

もう 1 つの堅牢なセキュリティ対策は、API キーを使用して API にアクセスすることです。これはシスコによる一般的な推奨事項ですが、vManage 導入の絶対的な要件ではありません。

管理者は、潜在的な脆弱性悪用を示す REST API へのアクセス試行を検出するためにログを監視することも指示されています。

vmanage-server.log ファイルの内容を表示するには、 "vmanage# show log /var/log/nms/vmanage-server.log".