Cisco ontdekte zelf een kritiek lek in zijn IOS XE-besturingssysteem voor netwerkapparatuur. Het lek laat hackers toe om in te loggen zonder de juiste gegevens. De ernst van het lek geeft het een zeldzame maximale CVSS-score.
Het is niet vaak dat een lek 10 op 10 scoort in het Common Vulnerability Scoring System. Wanneer dat wel gebeurt, kan je het niet bepaald een goede zaak noemen. Cisco ontdekte zelf een kwetsbaarheid in zijn IOS XE-besturingssysteem die de perfecte score verdient. De bug laat hackers toe om via het internet de loginprocedure voor het besturingssysteem compleet te negeren. Een hacker kan met andere woorden van overal ter wereld inloggen in kwetsbare toestellen zonder daar gegevens voor nodig te hebben.
Dat klinkt gevaarlijk en is het ook, al zijn er enkele nuances mee verbonden. Het lek situeert zich in de REST-API virtual service container voor IOS XE, en die is niet standaard geactiveerd. Die activatie is nodig voor hackers om de bug te kunnen misbruiken. Via de API is het mogelijk voor aanvallers om via HTTP-requests een geldig login-token te bemachtigen. Dat volstaat vervolgens om in te loggen in netwerkapparatuur. Het besturingssysteem moet de code die de authenticatie van de API beheerst beter controleren, maar doet dat niet.
Snel updaten
Cisco heeft geen weet van aanvallen in het wild, al zullen die vermoedelijk niet meer lang uitblijven nu het lek bekend is. De REST API virtual service container uitschakelen is een tijdelijke workaround, maar de kwetsbaarheid blijft zo wel inherent aanwezig. De staat van de REST API kan je nakijken via command line-code die Cisco op zijn eigen website meegeeft. De enige echt goede oplossing is zo snel mogelijk updaten naar een bijgewerkte versie van IOS XE.
Cisco bevestigde dat de kwetsbaarheid zeker van toepassing is op de Cisco 4000 Serie Integrated Services Routers, de Cisco ASR 1000 Series Aggregation Services Routers, de Cisco Cloud Services Router 1000V Serie en de Cisco Integrated Services Virtual Router. Andere toestellen zijn niet kwetsbaar. Updates voor de bug zijn intussen beschikbaar.
Gerelateerd: Grote kwetsbaarheid laat hackers achterpoortjes inbouwen in Cisco-hardware