Cisco kritiske opdateringer: Risici, fejl og vigtige programrettelser

Informatic Digital » Recursos » Cisco kritiske opdateringer: Risici, fejl og vigtige programrettelser

den Ciscos kritiske opdateringer er blevet en nøglekomponent fra cybersikkerhedsstrategi Dette gælder især for enhver virksomhed, der er afhængig af sin netværksinfrastruktur til den daglige drift. I de seneste måneder er der udstedt en række sikkerhedsrådgivninger, der påvirker følsomme løsninger såsom identitetsstyringssystemer, SD-WAN-platforme, core switches og perimeter firewalls, hvilket tvinger tekniske teams til nøje at overvåge tilgængelige programrettelser.

Når sårbarheder opstår med CVSS-scorer tæt på eller lig med 10.0Vi taler om sårbarheder, der kan give uautoriseret fjernadgang, udføre kode med root-rettigheder eller nedlægge kritiske netværkstjenester med en enkelt ondsindet pakke. Læg dertil det faktum, at nogle af disse problemer allerede udnyttes aktivt, og konklusionen er klar: alle med Cisco-udstyr i produktion skal handle hurtigt, planlægge vedligeholdelsesvinduer korrekt og styrke kontrollen omkring disse platforme.

Kritiske sårbarheder i Cisco Identity Services Engine (ISE) og identitetsstyring

Cisco har udgivet programrettelser til tre sårbarheder i forbindelse med fjernudførelse af ikke-godkendt kode i Identity Services Engine (ISE) og i ISE Passive Identity Connector (ISE-PIC). Alle har en CVSS-score på 10.0, det højeste kritiske niveau, da de giver en fjernangriber mulighed for at få root-rettigheder på systemer, der er kritiske for at kontrollere, hvem der kommer ind, og hvad de kan gøre i virksomhedens netværk.

De annoncerede fejl svarer til CVE-2025-20281, CVE-2025-20282 og CVE-2025-20337Alt dette er relateret til utilstrækkelig validering af de input, der behandles af visse interne API'er. I praksis kan en cyberkriminel sende manipulerede anmodninger om at uploade skadelige filer til privilegerede stier eller tvinge udførelse af vilkårlige kommandoer med de højeste tilgængelige tilladelser på systemet.

Med hensyn til omfanget, ISE og ISE-PIC er påvirket i version 3.3 (op til Patch 6) og 3.4 (op til Patch 1)Interessant nok er grene 3.2 og tidligere ikke påvirket af disse specifikke fejl, så risikoen er koncentreret i relativt nyere implementeringer, der normalt er dem, der er i produktion i krævende miljøer.

Problemet med den slags sårbarheder er, at Der findes ingen effektive midlertidige løsningerDer findes ingen mirakelkonfiguration eller stabil løsning, der kan købe dig tid. Cisco gør det selv klart, at den eneste realistiske måde at afbøde dette på er at installere de officielle patches, hvilket kræver, at man organiserer en hurtig opdateringsplan på alle de berørte ISE-noder.

Rettelserne er tilgængelige på ISE/ISE-PIC 3.4 Patch 2 og ISE/ISE-PIC 3.3 Patch 7Selvom specifikke hotfixes er blevet installeret i nogle miljøer (såsom pakker som ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz), anbefaler Cisco stadig at opgradere til disse officielle patches, da de tidligere ad hoc-rettelser ikke dækker CVE-2025-20337 eller garanterer fuldstændig korrektion af sårbarhederne.

Udover lapning er det vigtigt at forstærke Eksponering af ISE administrative grænseflader og API'erBegrænsning af adgang til betroede administrationsnetværk, beskyttelse med ACL'er og applikationsfirewalls, gennemgang af godkendelseslogfiler og administrative handlinger samt implementering af adfærdsovervågningssystemer hjælper med at opdage forsøg på udnyttelse, før angriberen kan eskalere.

Fire kritiske sårbarheder i Cisco-identitetsstyringsplatforme

I forbindelse med dette samme område af identitet og adgang har Cisco anerkendt fire yderligere sårbarheder på kritisk niveau i nøglekomponenter i Cisco Identity Services Engine (ISE) og Cisco Secure Access Cloud. Disse løsninger er fundamentet for godkendelse og autorisation i mange virksomhedsnetværk, så enhver fejl her har en direkte indvirkning på infrastrukturens integritet, fortrolighed og tilgængelighed.

Blandt de konstaterede svagheder skiller flere sig ud. muligheder for fjernudførelse af kode og fejl i inputvalidering Disse angreb giver en uprivilegeret angriber mulighed for at eskalere tilladelser, ændre interne processer eller fuldstændigt kompromittere de berørte systemer. Hvis angrebet lykkes, kan resultatet variere fra uautoriseret adgang til følsomme oplysninger til afbrydelse af godkendelsestjenester, hvilket blokerer adgang for legitime brugere.

Fra et teknisk synspunkt er en af ​​fejlfamilierne afhængig af fejl ved validering af data modtaget af API'er eller interne tjenesterGennem omhyggeligt manipulerede anmodninger er det muligt at udføre vilkårlige kommandoer, omgå godkendelsesmekanismer eller skrive til systemplaceringer, der bør beskyttes, med potentielt katastrofale konsekvenser i produktionsmiljøer.

Indvirkningen på tilgængeligheden er også betydelig: det er produkter, der De centraliserer adgangsstyringEnhver forringelse eller nedetid som følge af et angreb kan resultere i en udbredt denial of service for VPN'er. Virksomheds-Wi-Fi, kabelbaseret adgang med 802-1X eller integrationer med brugermapper.

For at afhjælpe disse mangler har Cisco udstedt Specifikke softwareopdateringer til de berørte versioner af ISE og Secure Access CloudAnbefalingen til sikkerhedsteams er at prioritere disse opdateringer i vedligeholdelsesplanen, især i miljøer med stor afhængighed af centraliseret godkendelse og betingede adgangstjenester.

Mens lappecyklussen fuldføres, er det tilrådeligt at forstærke logovervågning, korrelationsalarmer og systemer til detektion af indtrængen omkring disse platforme. Gennemgang af usædvanlige godkendelsesmønstre, stigninger i API-fejl og unormal adfærd i ISE-noder kan hjælpe med at identificere forsøg på udnyttelse, selv når angriberen endnu ikke har opnået fuld kompromittering.

Kritiske fejl i Cisco Catalyst SD-WAN, Nexus og ACI

Ud over identitetsområdet har Cisco udgivet en omfattende pakke af sikkerhedsvejledninger, der påvirker Cisco Catalyst SD-WAN-miljøer allerede flere familier af Cisco Nexus- og ACI-switcheDen tekniske rapport beskriver godkendelsesproblemer, eskalering af rettigheder, informationseksponering og flere denial-of-service-scenarier med fjern- eller tilstødende rækkevidde.

Blandt de mest alvorlige tilfælde er CVE-2026-20127 og CVE-2026-20129Begge er relateret til godkendelse i Cisco Catalyst SD-WAN Controller og Cisco Catalyst SD-WAN Manager. Den første, med en CVSS på 10.0, giver en ikke-godkendt fjernangriber mulighed for at omgå parringsprocessen og direkte opnå administratorrettigheder på det berørte system, hvilket indebærer total kontrol over SD-WAN-konfigurationen.

I tilfælde af CVE-2026-20129Sårbarheden ligger i brugergodkendelsen af ​​Cisco Catalyst SD-WAN Manager API'en, også med en ikke-godkendt fjernvektor og en CVSS-score på 9.8. Gennem en specialudformet anmodning kan en angriber opnå privilegeret adgang. Netadmin og udføre kommandoer med dette tilladelsesniveau. Cisco angiver, at SD-WAN Manager version 20.18 og nyere ikke er berørt af denne specifikke sårbarhed.

Der er også dokumenteret sårbarheder i forbindelse med lokale eskaleringer, såsom CVE-2026-20126 og CVE-2026-20128Disse udnyttelser giver en bruger med begrænsede tilladelser i SD-WAN Manager mulighed for at opnå root- eller DCA-brugerrettigheder. I begge tilfælde er udnyttelsen afhængig af misbrug af interne API'er (REST API eller Data Collection Agent-funktioner) og kræver gyldige legitimationsoplysninger, men den potentielle indvirkning omfatter fuldstændig systemovertagelse eller adgang til andre noder i SD-WAN-miljøet.

Rapporten indeholder referencer til tidligere fejl i Cisco SD-WAN CLI (CVE-2022-20775 og CVE-2022-20818Disse sårbarheder, som allerede er blevet udnyttet i praksis, tillader vilkårlige kommandoer at blive udført som root fra en autentificeret lokal adgang. Selvom disse sårbarheder har en lidt lavere CVSS-score (7.8), er de fortsat meget farlige i miljøer, hvor flere operatører deler kommandolinjeadgang.

På datacenter-switch-siden peger vejledningerne på problemer som f.eks. CVE-2026-20048En sårbarhed i håndteringen af ​​SNMP i Cisco Nexus 9000-seriens switche i ACI-tilstand. En godkendt fjernangriber med adgang til en community-streng Skrivebeskyttet adgang til SNMPv1/v2c eller gyldige SNMPv3-legitimationsoplysninger kan forårsage en denial of service ved at udløse en kernefejl, der tvinger enheden til at genstarte.

Andre fejl, som f.eks. CVE-2026-20033, CVE-2026-20051 og CVE-2026-20010Disse sårbarheder påvirker Layer 2 og tjenester såsom LLDP på ​​forskellige Nexus-platforme (3600, 9500-R, 9000 i ACI-tilstand og NX-OS). I alle tilfælde er der tale om sårbarheder, der kan udnyttes fra det tilstødende netværk uden godkendelse, hvilket kan forårsage uventede genstarter, Layer 2-trafikløkker eller total båndbreddemætning, hvilket resulterer i alvorlige tjenesteafbrydelser.

Resuméet af nyhedsbrevet gør det tydeligt, at Der findes ingen generelle alternative løsninger. For disse sårbarheder involverer afhjælpning opdatering til de korrigerede softwareversioner i SD-WAN, Nexus og ACI. I nogle tilfælde foreslås foranstaltninger til reduktion af angrebsflader, såsom segmentering af administrationstrafik, filtrering af adgang til de berørte porte (f.eks. begrænsning af adgang til port 22 og 830 i SD-WAN-implementeringer) og nøje overvågning af peering- og kontroltrafiklogfiler.

Massive opdateringer til Cisco Secure Firewall, ASA og FMC

Udover identitets- og netværkssårbarhederne har Cisco udgivet en større sikkerhedsopdatering til sit økosystem af firewalls, som omfatter 48 sårbarheder opdaget i Cisco Secure Firewall ASA, Secure Firewall Management Center (FMC) og Secure Firewall Threat Defense (FTD)To af disse fejl har fået en CVSS-score på 10.0, hvilket placerer dem på den højeste alvorlighedsgrad.

De mest kritiske sårbarheder er placeret i Cisco Secure Firewall Administration CenterDen komponent, der centraliserer administrationen af ​​politikker, konfigurationer, implementeringer og overvågning af Ciscos virksomhedsfirewalls. Specifikt skiller to sårbarheder sig ud: CVE-2026-20079, relateret til en godkendelsesomgåelse, og CVE-2026-20131, fokuseret på fjernudførelse af kode.

Begge problemer tillader en fjernangriber Få adgang til FMC uden gyldige legitimationsoplysninger og udfør kode med root-rettigheder i systemet, der administrerer hele firewallinfrastrukturen. En sådan kompromis betyder, at angriberen kan ændre regler, deaktivere inspektioner, omdirigere trafik eller endda slette beviser for ondsindet aktivitet, hvilket øger risikoen til det højest mulige niveau inden for et perimetermiljø.

Bulletinen omhandler også flere sårbarheder i lammelsesangreb Vedrørende fjernadgangs-SSL VPN-funktioner og VPN-webserveren på ASA og FTD. Nogle af dem har CVSS-scorer på 8.6, klassificeret som høj alvorlighed, da de tillader nedlukning af fjernadgangstjenester, der ofte er kritiske for telearbejde og tredjepartsforbindelser.

I alt Cisco detaljer 25 sikkerhedsrådgivninger omfattende 48 sårbarhederMed opdateringer tilgængelige for de forskellige understøttede grene af ASA, FMC og FTD. Selvom Cisco PSIRT angiver, at der på udgivelsestidspunktet ikke var tegn på aktiv udnyttelse af de to kritiske FMC-sårbarheder, gør deres fjerne, uautoriserede natur og deres indvirkning på et centraliseret administrationssystem patching ekstremt presserende.

Den prioriterede anbefaling er at opdatere For det første, alle implementeringer, der bruger FMC som deres administrationskonsolPlanlæg forskudte vedligeholdelsesvinduer for at undgå at netværket forbliver ubeskyttet. Bagefter anbefales det også at installere programrettelser til ASA og FTD, især på udstyr, der er direkte forbundet med internettet eller betjener eksterne brugere.

Tidligere nyhedsbreve: Cisco Enterprise NFV, Prime, Nexus Insights og ISE

Ud over de seneste bølger af programrettelser er det vigtigt at huske, at Cisco har akkumuleret sikkerhedsadvarsler i andre nøglekomponenter i dit økosystemMange af disse sårbarheder er stadig til stede i produktionsnetværk. Et eksempel er en bulletin, der oplister flere relevante sårbarheder identificeret af cybersikkerhedsteams som Netglobalis.

Meddelelsen oplister mangler som f.eks. CVE-2021-34746, en sårbarhed i forbindelse med godkendelsesomgåelse i Cisco Enterprise NFV-infrastruktursoftware, som kan give en angriber mulighed for at omgå kritiske adgangskontroller i virtualiseringsmiljøer for netværksfunktioner.

Skiller sig også ud CVE-2021-34733Denne sårbarhed eksponerer oplysninger i Cisco Prime Infrastructure og Cisco Evolved Programmable Network Manager. Udnyttelse af denne sårbarhed kan eksponere konfigurationsdata eller følsomme netværksoplysninger, hvilket er meget nyttigt til at forberede efterfølgende, mere målrettede angreb.

Inden for samarbejdsledelse, CVE-2021-34732 Det refererer til en sårbarhed over for cross-site scripting (XSS) i Cisco Prime-samarbejdsklargøringsprocessen, mens CVE-2021-34759 Det påvirker Cisco Identity Services Engine med en anden XSS-sårbarhed, der kan tillade kodeudførelse i en administrators browser via skadeligt indhold.

Endelig nævnes det CVE-2021-34765Denne sårbarhed, som muliggør videregivelse af autentificerede oplysninger i Cisco Nexus Insights, kan muliggøre uautoriseret adgang til interne data vedrørende netværkets ydeevne og tilstand. Igen er dette yderst værdifuld information for en angriber, der ønsker at angribe lateralt eller udføre målrettet sabotage.

Retningslinjen i disse tilfælde er klar: Installer de opdateringer, der anbefales af producenten, fra deres officielle kanaler.efter at have vurderet virkningen på kritiske tjenester og koordineret implementeringen med ansvarligt teknisk personaleFør implementering i produktion anbefales det at teste programrettelser i præproduktions- eller laboratoriemiljøer, gennemgå udgivelsesnoter og validere kompatibilitet med eksisterende integrationer.

Strategier til afbødning og hærdning i Cisco-miljøer

I betragtning af antallet og alvoren af ​​de seneste sårbarheder er det ikke nok blot at installere programrettelser og glemme alt om dem. Det er vigtigt at anlægge en proaktiv tilgang. dybdegående forsvarstilgang og hærdning i alle lag af Cisco-infrastrukturen, fra identitetsstyring til netværkskontrolplanet og perimeterfirewalls.

I Cisco Catalyst SD-WAN-implementeringer anbefaler Cisco for eksempel begrænse trafik til følsomme administrationsporte (såsom 22 og 830) Tillad kun adgang til kendte IP-adresser, deaktiver HTTP-adgang til administrationsportalen, og tving brugen af ​​HTTPS med opdaterede certifikater. Ændring af administratoradgangskoder til stærkere, mere unikke versioner og aktivering af multifaktorgodkendelse, hvor det er muligt, er andre vigtige beskyttelseslag.

Et centralt punkt er løbende gennemgang af aktivitetslogfiler og enhedsparringslogfilerIdentifikation af uautoriserede peering-forbindelser, mislykkede godkendelsesforsøg fra mistænkelige kilder eller øget trafik på administrations-API'er kan give tidlige tegn på, at nogen forsøger at udnytte en af ​​de kendte sårbarheder.

I Nexus- og ACI-miljøer anbefales det, udover at installere de korrigerede versioner af NX-OS og firmware, at segmenter omhyggeligt administrations-VLAN'erBegræns adgangen til SNMP og LLDP fra velkontrollerede administrationssegmenter, og anvend adgangskontrollister på lag 2 og 3, der begrænser omfanget af tilstødende angreb.

Organisationer, der er stærkt afhængige af Cisco ISE og andre IAM-platforme, bør gennemgå Eksponering af administrationsgrænseflader via VPN, gæste-Wi-Fi-netværk eller tredjeparts fjernadgangIntroduktion af mellemliggende hop (bastition-værter), segmentering af administrationsnetværket og nøje overvågning af API-kald og konfigurationsændringer reducerer drastisk sandsynligheden for et stille kompromis.

Frem for alt er det tilrådeligt at institutionalisere processer vedr. Periodisk revision, sårbarhedsscanninger og konfigurationsgennemgang Baseret på officielle vejledninger som Cisco Catalyst SD-WAN Hardening Guide eller Ciscos bedste praksis for sikkerhed i firewall- og switchmiljøer, suppleres disse gennemgange af løbende træning af teknisk personale og brugen af ​​AI-drevne overvågningsløsninger. Dette hjælper med at opdage usædvanlige mønstre, før en hændelse eskalerer til et alvorligt brud.

Vigtigheden af ​​en kontinuerlig opdateringscyklus og en global sikkerhedsvision

Al denne kontekst af advarsler og programrettelser gør det klart, at Virksomhedsnetværk er i konstant forandring Og angrebsfladen udvides med hver ny funktion, der aktiveres. Cisco, som en af ​​de største aktører i sektoren, reagerer med stadig mere omfattende opdateringspakker, og det er organisationernes ansvar at integrere dem i deres vedligeholdelsesplan uden at forstyrre forretningsdriften.

Sårbarheder i netværksudstyr er ikke kun et teknisk problem; de påvirker også tillid fra kunder, medarbejdere og myndighederEn ukorrigeret kritisk fejl i en perimeterfirewall, SD-WAN-controller eller identitetsstyringssystem kan føre til datatyveri, serviceafbrydelser eller hændelser, der resulterer i lovmæssige sanktioner og omdømmeskade, som er vanskelig at måle.

Derfor vælger mange virksomheder at samarbejde med Specialiserede leverandører af skræddersyede løsninger med indbygget cybersikkerhed fra designfasenDenne tilgang muliggør integration af cloud-tjenester som AWS eller Azure uden at miste sikkerhedskravene af syne, og migreringer ledsages af en ny udformning af adgangs-, overvågnings- og hændelsesresponspolitikker.

I sidste ende er den mest realistiske måde at beskytte netværksinfrastrukturen på gennem kombinerer hurtige opdateringer, konfigurationshærdning, intelligent segmentering, avanceret overvågning og løbende træning af udstyret. De kritiske Cisco-opdateringer, der er blevet udgivet, tjener som en påmindelse om, at enhver netværkskomponent – ​​uanset hvor robust den end måtte synes – kan blive indgangspunktet for en alvorlig hændelse, hvis den ikke holdes opdateret og inden for en omfattende sikkerhedsstrategi.