Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cisco

Cisco

Bug Pusat Kontak Cisco yang Kritis Mengancam Kerusakan Layanan Pelanggan

by

Bug keamanan kritis yang memengaruhi portofolio Unified Contact Center Enterprise (UCCE) Cisco dapat memungkinkan peningkatan hak istimewa dan pengambilalihan platform.

Cisco UCCE adalah platform layanan pelanggan lokal yang mampu mendukung hingga 24.000 agen layanan pelanggan menggunakan saluran yang mencakup suara masuk, suara keluar, respons suara interaktif keluar (IVR), dan saluran digital. Ini juga menawarkan umpan balik melalui IVR pasca-panggilan, email, dan survei intersep web; dan berbagai opsi pelaporan untuk mengumpulkan informasi tentang kinerja agen untuk digunakan dalam menetapkan metrik dan menginformasikan intelijen bisnis.

Bug yang dimaksud (CVE-2022-20658) adalah yang sangat buruk, dengan peringkat kritis 9,6 dari 10 pada skala kerentanan-keparahan CVSS, dan dapat memungkinkan penyerang jarak jauh yang diautentikasi untuk meningkatkan hak istimewa mereka menjadi administrator, dengan kemampuan untuk membuat akun administrator lain.

Ini secara khusus ada di antarmuka manajemen berbasis web dari Cisco Unified Contact Center Management Portal (Unified CCMP) dan Cisco Unified Contact Center Domain Manager (Unified CCDM) dan berasal dari fakta bahwa server bergantung pada mekanisme otentikasi yang ditangani oleh sisi klien. Itu membuka pintu bagi penyerang yang memodifikasi perilaku sisi klien untuk melewati mekanisme perlindungan.

Dipersenjatai dengan akun admin tambahan, penyerang dapat mengakses dan memodifikasi telepon dan sumber daya pengguna di semua platform yang terkait dengan Cisco Unified CCMP yang rentan.

Seseorang dapat memperkirakan malapetaka operasional dan identitas merek yang dapat ditimbulkan oleh penyerang dengan melumpuhkan sistem layanan pelanggan perusahaan besar belum lagi kerusakan yang dapat dilakukan dengan akses ke kumpulan data informasi pribadi yang harus disimpan oleh sistem di perusahaan ‘ pelanggan, termasuk komunikasi telepon dan email.

Namun, untuk berhasil mengeksploitasi kerentanan, penyerang memerlukan kredensial “Pengguna Tingkat Lanjut” yang valid, sehingga bug perlu dirantai dengan yang lain untuk akses awal.

Ada tambalan yang tersedia untuk masalah ini, tetapi tidak ada solusi. Informasi patch adalah sebagai berikut:

Versi 11.6.1 dan sebelumnya: Rilis tetap adalah 11.6.1 ES17
Versi 12.0.1: Rilis tetap adalah 12.0.1 ES5
Versi 12.5.1: Rilis tetap adalah 12.5.1 ES5
Versi 12.6.1: Tidak terpengaruh

Tidak ada eksploitasi publik yang diketahui sejauh ini, menurut raksasa jaringan itu.

Sumber : Threat Post

Cisco memperbaiki kredensial hard-code dan masalah kunci SSH default

by

Cisco telah merilis pembaruan keamanan untuk mengatasi kelemahan keamanan kritis yang memungkinkan penyerang yang tidak diautentikasi untuk masuk menggunakan kredensial hard-code atau kunci SSH default untuk mengambil alih perangkat yang belum ditambal.

CISA juga mendorong pengguna dan administrator hari ini untuk meninjau saran Cisco dan menerapkan semua pembaruan yang diperlukan untuk memblokir upaya untuk mengambil alih sistem yang terkena dampak.

Catalyst PON Switch kredensial hard-coded

Yang pertama dari dua kelemahan yang ditambal pada hari Rabu (dilacak sebagai CVE-2021-34795) hadir dengan skor CVSS 10/10 yang sempurna dan ditemukan di Cisco Catalyst Passive Optical Network (PON) Series Switches Optical Network Terminal (ONT).

“Kerentanan dalam layanan Telnet Cisco Catalyst PON Series Switches ONT dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi masuk ke perangkat yang terpengaruh dengan menggunakan akun debugging yang memiliki kata sandi default dan statis,” perusahaan menjelaskan dalam sebuah nasihat yang diterbitkan kemarin. .

Untungnya, kerentanan ini hanya dapat dieksploitasi dengan membuat sesi Telnet ke perangkat yang rentan dan masuk dengan kredensial hard-coded.

Karena Telnet tidak diaktifkan secara default pada perangkat yang terpengaruh, ini secara drastis membatasi jumlah target yang dapat diserang oleh aktor ancaman.

Daftar perangkat yang terpengaruh termasuk sakelar CGP-ONT-1P, CGP-ONT-4P, CGP-ONT-4PV, CGP-ONT-4PVC, dan CGP-ONT-4TVCW Catalyst PON.

Cisco mengkonfirmasi bahwa CVE-2021-34795 tidak berdampak pada Catalyst PON Switch CGP-OLT-8T dan Catalyst PON Switch CGP-OLT-16T.
Kunci SSH default di Cisco Policy Suite

Cacat keamanan kritis kedua yang ditambal kemarin dilacak sebagai CVE-2021-40119 dan disebabkan oleh penggunaan kembali kunci SSH statis di seluruh instalasi Cisco Policy Suite.

“Kerentanan dalam mekanisme otentikasi SSH berbasis kunci dari Cisco Policy Suite dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk masuk ke sistem yang terpengaruh sebagai pengguna root,” jelas Cisco.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengekstrak kunci dari sistem di bawah kendali mereka.”

Perangkat lunak Cisco Policy Suite merilis 21.2.0 dan yang lebih baru akan secara otomatis membuat kunci SSH baru selama proses instalasi tetapi tidak selama peningkatan.

Untuk menghasilkan kunci SSH baru dan menyebarkannya ke semua mesin, Anda dapat menggunakan langkah-langkah yang dirinci di bagian Rilis Tetap dari saran Cisco.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa tidak ada kode eksploitasi konsep publik yang tersedia secara online untuk kedua kerentanan ini dan menambahkan bahwa mereka tidak mengetahui adanya eksploitasi yang sedang berlangsung di alam liar.

SUMBER : Bleeping Computer

Bug Keamanan SD-WAN Cisco Memungkinkan Eksekusi Kode Root

by

Implementasi Cisco SD-WAN rentan terhadap kerentanan eskalasi hak istimewa dengan tingkat keparahan tinggi dalam sistem operasi IOS XE yang dapat menyebabkan eksekusi kode arbitrer.

Sementara itu, IOS XE, adalah sistem operasi vendor yang menjalankan peralatan tersebut. Ini adalah kombinasi dari kernel Linux dan aplikasi monolitik yang berjalan di atas kernel itu.

Bug (CVE-2021-1529) adalah masalah injeksi perintah OS, yang memungkinkan penyerang untuk mengeksekusi perintah yang tidak terduga dan berbahaya secara langsung pada sistem operasi yang biasanya tidak dapat diakses. Ini secara khusus ada di antarmuka baris perintah (CLI) untuk perangkat lunak IOS XE SD-WAN Cisco, dan dapat memungkinkan penyerang lokal yang diautentikasi untuk mengeksekusi perintah sewenang-wenang dengan hak akses root.

Ini hanya kerentanan SD-WAN terbaru dari beberapa yang telah ditambal Cisco tahun ini. Pada bulan Januari, ia memperbaiki beberapa, buffer-overflow kritis dan bug SD-WAN injeksi perintah, yang paling serius dapat dieksploitasi oleh penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer pada sistem yang terpengaruh dengan hak akses root.

Pada bulan Mei, Cisco membahas dua kerentanan keamanan kritis dalam Perangkat Lunak SD-WAN vManage, salah satunya dapat memungkinkan penyerang yang tidak diautentikasi untuk melakukan eksekusi kode jarak jauh (RCE) di jaringan perusahaan atau mencuri informasi.

Dan baru bulan lalu, Cisco mengungkapkan dua kerentanan keamanan kritis yang memengaruhi perangkat lunak IOS XE dan SD-WAN-nya, yang paling parah akan memungkinkan RCE dan penolakan layanan (DoS) yang tidak diautentikasi.

Selengkapnya: Threat Post

Cisco Menambal Bug Otentikasi Kritis Dengan Bukti Eksploitasi Publik

by

Cisco telah menambal bug kritis yang hampir maksimal dalam perangkat lunak NFVIS-nya yang memiliki eksploitasi proof-of-concept (PoC) yang tersedia untuk umum.

Pada hari Rabu, Cisco merilis tambalan untuk cacat – kerentanan bypass otentikasi di Enterprise NFV Infrastructure Software (NFVIS) yang dilacak sebagai CVE-2021-34746.

Cisco Enterprise NFVIS adalah perangkat lunak infrastruktur berbasis Linux yang membantu penyedia layanan dan pelanggan lain untuk menerapkan fungsi jaringan virtual, seperti router virtual dan firewall, serta akselerasi WAN, pada perangkat Cisco yang didukung. Ini juga menyediakan penyediaan otomatis dan manajemen terpusat.

Kerentanan dengan skor dasar CVSS 9,8 ini, dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melewati autentikasi dan masuk ke perangkat yang rentan sebagai admin.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan menyuntikkan parameter ke dalam permintaan otentikasi,” jelas Cisco dalam penasihat keamanannya. “Eksploitasi yang berhasil dapat memungkinkan penyerang untuk melewati otentikasi dan masuk sebagai administrator ke perangkat yang terpengaruh.”

Kerentanan ini disebabkan oleh validasi yang tidak lengkap dari input yang diberikan pengguna yang diteruskan ke skrip autentikasi selama proses masuk. Cacat ditemukan di Cisco Enterprise NFVIS Rilis 4.5.1 jika metode otentikasi eksternal TACACS – fitur otentikasi, otorisasi dan akuntansi (AAA) dari perangkat lunak – dikonfigurasi.

Tidak ada solusi untuk memitigasi kerentanan ini. Patch untuk mengatasi bug tersedia di Enterprise NFVIS rilis 4.6.1 dan yang lebih baru.

Cisco mengatakan bahwa mereka mengetahui kode eksploitasi PoC yang tersedia untuk umum tetapi belum melihat eksploitasi berbahaya yang berhasil pada saat ini.

Eksploitasi itu ditemukan oleh peneliti keamanan Orange Group Cyrille Chatras, yang Cisco berterima kasih atas nasihatnya.

Selengkapnya: The Threat Post

Peretas dapat melewati produk keamanan Cisco dalam serangan pencurian data

by

Cisco mengatakan bahwa penyerang yang tidak diautentikasi dapat melewati teknologi penyaringan inspeksi TLS di beberapa produk untuk mengekstrak data dari server yang sebelumnya dikompromikan di dalam jaringan pelanggan.

Dalam serangan tersebut, pelaku ancaman dapat mengeksploitasi kerentanan dalam pemfilteran permintaan Server Name Identification (SNI) yang memengaruhi produk 3000 Series Industrial Security Appliances (ISA), Firepower Threat Defense (FTD), dan Web Security Appliance (WSA).

Sejauh ini, Cisco Product Security Incident Response Team (PSIRT) tidak mengetahui adanya penyerang atau malware yang mengeksploitasi kelemahan keamanan ini.

SNIcat (Server Name Indication Concatenator) adalah metode eksfiltrasi tersembunyi yang ditemukan oleh peneliti keamanan mnemonic Labs yang melewati solusi perimeter keamanan dan perangkat inspeksi TLS (mis., web proxies, next-gen firewalls (NGFW) melalui TLS Client Hello packets.

“Dengan menggunakan metode eksfiltrasi SNIcat, kami menemukan bahwa kami dapat melewati solusi keamanan yang melakukan pemeriksaan TLS, bahkan ketika domain Command & Control (C2) yang kami gunakan diblokir oleh reputasi umum dan fitur pencegahan ancaman yang ada di dalam solusi keamanan itu sendiri,” kata para peneliti.

“Singkatnya, kami menemukan bahwa solusi yang dirancang untuk melindungi pengguna, memperkenalkan mereka pada kerentanan baru.”

Selain Cisco, mnemonic Labs telah berhasil menguji SNIcat terhadap produk dari F5 Networks (F5 BIG-IP yang menjalankan TMOS 14.1.2, dengan SSL Orchestrator 5.5.8), Palo Alto Networks (Palo Alto NGFW yang menjalankan PAN-OS 9.1.1), dan Fortinet (Fortigate NGFW menjalankan FortiOS 6.2.3).

Para peneliti juga mengembangkan alat bukti konsep yang membantu mengekstrak data dari server yang sebelumnya diretas melalui saluran rahasia SNI, menggunakan agen pada host yang disusupi dan server perintah-dan-kontrol yang mengumpulkan data yang dieksfiltrasi.

Selengkapnya: Bleeping Computer

Bug Cisco Kritis di Router VPN Memungkinkan Pengambilalihan Mesin Secara Jarak Jauh

by

Kerentanan keamanan kritis dalam subset router VPN bisnis kecil Cisco Systems dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengambil alih perangkat – dan para peneliti mengatakan setidaknya ada 8.800 sistem rentan yang terbuka untuk dikompromikan.

Cisco mengatasi bug (CVE-2021-1609) sebagai bagian dari banyak tambalan yang diluncurkan minggu ini. Secara total, perbaikan dan produk yang terpengaruh adalah sebagai berikut:

  • Kerentanan Manajemen Web pada Cisco RV340, RV340W, RV345, dan RV345P Dual WAN Gigabit VPN Router(Advisory)
  • Kerentanan Eksekusi Perintah Jarak Jauh pada Cisco Small Business RV160 dan RV260 Series VPN Router(Advisory)
  • Cisco Packet Tracer untuk Kerentanan Injeksi DLL Windows (Advisory)
  • Kerentanan Eskalasi Hak Istimewa Server pada Cisco Network Services Orchestrator CLI Secure Shell (Advisory)
  • Kerentanan Eskalasi Hak Istimewa ConfD CLI Secure Shell Server (Advisory)

Bug kritis mempengaruhi router Dual WAN Gigabit VPN vendor. Menurut penasihat, CVE-2021-1609 ada di antarmuka manajemen web untuk perangkat, dan membawa skor kerentanan-keparahan CVSSv3 9,8. Itu muncul karena validasi permintaan HTTP yang tidak tepat.

Menurut analisis hari Kamis dari Tenable, penyerang jarak jauh yang tidak diautentikasi dapat mengeksploitasi kerentanan dengan mengirimkan permintaan HTTP yang dibuat khusus ke perangkat yang rentan, “menghasilkan eksekusi kode arbitrer serta kemampuan untuk memuat ulang perangkat, menghasilkan penolakan layanan (DoS).

Selengkapnya: Threat Post

Bug yang Belum Ditambal Ditemukan Mengintai di Platform Penyediaan yang Digunakan dengan Cisco UC

by

Manajer Penyedia Akkadian, yang digunakan sebagai alat penyediaan pihak ketiga dalam lingkungan Cisco Unified Communications, memiliki tiga kerentanan keamanan tingkat tinggi yang dapat dirangkai bersama untuk mengaktifkan eksekusi kode jarak jauh (RCE) dengan hak istimewa yang lebih tinggi, kata para peneliti.

Mereka tetap tidak ditambal, menurut para peneliti di Rapid7 yang menemukannya.

Suite UC Cisco memungkinkan komunikasi VoIP dan video di seluruh jejak bisnis. Produk Akkadian adalah alat yang biasanya digunakan di perusahaan besar untuk membantu mengelola proses penyediaan dan konfigurasi semua klien dan instans UC, melalui otomatisasi.

Kerentanan tersebut, semua hadir dalam versi 4.50.18 dari platform Akkadia, adalah sebagai berikut:

  • CVE-2021-31579: Use of hard-coded credentials (ranking 8.2 out of 10 on the CVSS vulnerability-severity scale)
  • CVE-2021-31580 and CVE-2021-31581: Improper neutralization of special elements used in an OS command (using exec and vi commands, respectively; ranking 7.9)
  • CVE-2021-31582: Exposure of sensitive information to an unauthorized actor (ranking 7.9)

Menggabungkan CVE-2021-31579 dengan CVE-2021-31580 atau CVE-2021-31581 akan memungkinkan musuh yang tidak sah mendapatkan akses shell tingkat root ke perangkat yang terpengaruh, menurut Rapid7. Itu membuatnya mudah untuk menginstal cryptominers, keystroke logger, persisten shell, dan semua jenis malware berbasis Linux lainnya.

Selengkapnya: Threat Post

Bug Cisco memungkinkan pembuatan akun admin dan menjalankan perintah sebagai root

by

Cisco telah memperbaiki kelemahan keamanan perangkat lunak SD-WAN vManage dan HyperFlex HX yang kritis yang dapat memungkinkan penyerang jarak jauh untuk menjalankan perintah sebagai root atau membuat akun admin jahat.

Perusahaan juga mengeluarkan pembaruan keamanan untuk mengatasi kerentanan dengan tingkat keparahan tinggi dan menengah di beberapa produk perangkat lunak lain yang memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh, meningkatkan hak istimewa, memicu adanya denial of service, dan lainnya di server yang tidak ditambal.

Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan bahwa mereka tidak mengetahui adanya eksploitasi secara aktif dari kerentanan ini di alam liar.

Cisco SD-WAN vManage Kerentanan perangkat lunak yang di-patch hari ini oleh Cisco dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer atau mengakses informasi sensitif.

Mereka juga dapat dieksploitasi secara lokal oleh penyerang lokal yang diautentikasi untuk mendapatkan hak istimewa atau akses tidak sah ke aplikasi yang rentan terhadap serangan.

Bug keamanan Cisco HyperFlex HX Command Injection memungkinkan penyerang jarak jauh tanpa hak istimewa pada server yang ditargetkan untuk melakukan serangan injeksi perintah.

Dalam kedua kasus, menggabungkan kerentanan tidak diperlukan untuk eksploitasi yang berhasil, dan bug tidak bergantung satu sama lain.

Selengkapnya: Bleeping Computer