Cisco je objavio sigurnosne propuste koji utiču na njegov ThousandEyes Endpoint Agent za macOS i RoomOS, kao i njegov mehanizam za otkrivanje Snort koji se koristi u više proizvoda.
Oba savjeta, objavljena 8. januara i ažurirana 13. januara 2025., naglašavaju potrebu da administratori hitno implementiraju ažuriranja softvera kako bi ublažili potencijalne rizike.
Ranjivost provjere sertifikata ThousandEyes Endpoint Agenta
Cisco je identifikovao grešku u validaciji sertifikata u ThousandEyes Endpoint Agentu za macOS i RoomOS, kao što je detaljno opisano u savetodavnom ID-u: cisco-sa-thousandeyes-cert-pqtJUv9N .
Ova ranjivost, dodijeljena CVE-2025-20126, ima CVSS ocjenu 4,8 (srednja) i proizilazi iz nepravilnih rutina provjere valjanosti certifikata za hostovane metričke usluge.
Ako se iskoristi, mana bi mogla omogućiti neautorizovanom napadaču da presretne ili manipuliše metričkim informacijama maskirajući se kao pouzdani host koristeći izrađeni sertifikat.
Ovaj napad, poznat kao napad na putu (ranije „čovjek u sredini“), mogao bi poremetiti sigurnu komunikaciju između klijenta i udaljenih metričkih usluga.
Pogođeni proizvodi
- Cisco ThousandEyes Endpoint Agent za macOS.
- RoomOS uređaji sa zahvaćenim verzijama.
Cisco je potvrdio da nema uticaja na ThousandEyes Endpoint Agente zasnovane na Windows-u.
Cisco je riješio problem ažuriranjem softvera:
- Ranjivost je ispravljena u Cisco ThousandEyes Agent izdanju 1.206.3 za macOS.
- Za RoomOS, popravka je uključena u izdanje 1.207.21 , pri čemu je prva ispravljena verzija RoomOS- a 11.22.1.0 .
Administratori se pozivaju da odmah nadograde na ove verzije. Ne postoje zaobilazna rješenja, iako Cisco sugeriše da onemogućavanje funkcije trenutnog testiranja agenta može pomoći u smanjenju rizika.
Ranjivost zaobilaženja filtera Snort-a
Zasebna ranjivost povezana sa motorom za otkrivanje Snort, koji se široko koristi u Cisco proizvodima, otkriven je pod savjetodavnim ID-om: cisco-sa-snort-rf-bypass-OY8f3pnM . Dodijeljen CVE-2024-20342, nedostatak ima CVSS ocjenu 5,8 (srednji) i može omogućiti napadačima da zaobiđu filtere koji ograničavaju brzinu.
Problem nastaje zbog netačnog poređenja broja veza u Snort-ovoj funkciji filtriranja brzine. Slanjem saobraćaja brzinom koja premašuje konfigurisano ograničenje, napadač može zaobići zaštitu koju obezbeđuje filter brzine, potencijalno dozvoljavajući neovlašteni saobraćaj u mrežu.
- Open Source Snort 2 i Snort 3.
- Cisco proizvodi koji pokreću ranjiva izdanja FirePOWER usluga ili softvera Firepower Threat Defense (FTD) sa omogućenim Snort.
Cisco je savjetovao klijente da procijene uticaj ranjivosti na svoje okruženje i primjene popravke u skladu sa sopstvenim strategijama za smanjenje rizika.
Cisco je objavio ažuriranja koja se bave ovim problemom, a koja su uključena u njegovu priloženu publikaciju sa savjetima o sigurnosti iz oktobra 2024.
Izvor: CyberSecurityNews