Компания Cisco выпустила очередной бюллетень безопасности, посвящённый максимально критической уязвимости в управляющем ПО для контроллеров беспроводных сетей. «Баг» CVE-2022-20695 позволяет злоумышленникам получать доступ к управляющим интерфейсам контроллеров без использования действительного пароля. По сути доступ можно получить с помощью произвольной пары логина-пароля.
Причиной проблемы является некорректная реализация алгоритма проверки пароля, из-за чего появляется возможность обходить стандартную процедуру авторизации на устройствах, где опция macfilter radius compatibility выставлена на значение Other. Это основной признак уязвимости.
Уязвимость характерна для оболочек Cisco WLC Software версий от 8.10.151.0 до 8.10.162.0. Уязвимыми также считаются версии с 8.10.151.4 по 8.10.151.10 и с 8.10.162.1 по 8.10.162.14. Они недоступны в Cisco Software Center, но, тем не менее, у них достаточно пользователей, чтобы вендор специально предупреждал об опасности.
Уязвимость затрагивает следующие модели контроллеров: 3504 Wireless Controller, 5520 Wireless Controller, 8540 Wireless Controller, а также Mobility Express и Virtual Wireless Controller (vWLC).
При этом CVE-2022-20695 не затрагивает контроллеры Catalyst 9800 Embedded для свитчей серий Catalyst 9300, 9400 и 9500; беспроводные контроллеры Catalyst 9800 (в том числе, предназначенные для облаков), встраиваемые беспроводные контроллеры на точках доступа Catalyst Access Points и беспроводные LAN-контроллеры AireOS, если они специально не указаны в списке уязвимых.
Версия 8.10.171.0 или более поздняя устраняет уязвимость в оболочке.
«С технической точки зрения, это довольно нелепая ошибка, возможно, унаследованная от какого-то стороннего ПО, - полагает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEQ. - Уязвимости в ПО Cisco - не редкость, но, к счастью, их плотно отслеживают специалисты по безопасности и компания регулярно и оперативно выпускает обновления. В данном случае, похоже, опаснейшую ошибку, что называется, проглазели, но успели исправить до того, как началась её активная эксплуатация. Теперь, впрочем, когда информация о ней стала публичной, есть риск, что атаки пойдут лавинообразно».
Способы исправить положение есть.
Для тех, кто не имеет возможности обновить оболочку немедленно, Cisco предлагает два варианта промежуточного исправления ситуации.
Первый - это выставить значение macfilter radius compatibility в дефолтное значение через команду config macfilter radius-compat cisco.
Второй - выставить значение этого параметра на free (или какой-то другой безопасный вариант).