Критическая уязвимость в локальной версии платформы безопасности Cisco Secure Workload позволяет злоумышленнику получить права администратора сайта. Эксперты призывают немедленно установить патч, так как это наихудший сценарий для безопасности сети. — csoonline.com
Критическая уязвимость в локальной версии платформы безопасности Cisco Secure Workload может позволить злоумышленнику получить привилегии администратора сайта, что даст ему возможность скомпрометировать конечные точки, а также читать или изменять конфигурационные данные.
«Руководителям по безопасности (CSO) следует немедленно отложить все дела и установить исправление», — предупредил консультант Роберт Эндерл, возглавляющий Enderle Group. «Cisco Secure Workload управляет принципами нулевого доверия (zero trust), микросегментацией и видимостью сети в масштабах предприятия. Если злоумышленник контролирует платформу, которая определяет ваши политики безопасности, он фактически владеет картой и ключами от всего вашего сетевого королевства».
«Это наихудший сценарий», — добавил он. «Учитывая, насколько важна эта платформа для крупных предприятий, злоумышленники будут агрессивно сканировать незащищенные API-конечные точки для эксплуатации».
Срочность немедленного устранения этой проблемы подтвердил Фред Шагнон, ведущий исследовательский директор Info-Tech Research Group. Он отметил, что злоумышленник может изменить или демонтировать политики безопасности предприятия, фактически открыв двери внутри среды, которые были намеренно закрыты.
«Радиус поражения может быть значительным»
«Поскольку этот доступ действует на уровне администратора сайта и пересекает границы арендаторов (tenant boundaries)», — добавил он, — «радиус поражения в многоарендной среде может быть значительным, потенциально подвергая риску или компрометируя рабочие нагрузки и данные, принадлежащие нескольким бизнес-подразделениям или клиентам».
Cisco присвоила этому дефекту (CVE-2026-20223) максимальный балл CVSS — 10.0, поскольку он позволяет неаутентифицированному удаленному злоумышленнику полностью обойти аутентификацию. Отправив специально сформированный HTTP-запрос к внутренней конечной точке REST API, злоумышленник мгновенно получает привилегии администратора сайта.
В своем бюллетене Cisco заявляет, что эта дыра вызвана недостаточной проверкой и аутентификацией при доступе к конечным точкам REST API.
Обходных путей нет; единственное решение — установить обновления программного обеспечения для устранения этой уязвимости, что Cisco «настоятельно рекомендует». Системы, работающие на версии 4.0, должны обновиться до 4.0.3.17. Те, у кого версия 3.10, должны обновиться до версии 3.10.8.3, а те, кто все еще использует версию 3.9 или более раннюю, должны мигрировать на более новый, исправленный релиз.
Уязвимость затрагивает программное обеспечение кластера Secure Workload как в развертываниях SaaS, так и локальных, независимо от конфигурации устройства, но влияет только на внутренние REST API и не затрагивает веб-интерфейс управления. Однако действовать необходимо только тем, кто использует локальную версию; Cisco уже выпустила исправление для продукта SaaS.
По состоянию на среду Cisco не располагала сведениями о злонамеренном использовании уязвимости.
«Относитесь к этому как к активной угрозе»
Хорошая новость, по словам Шагнона, заключается в том, что команда безопасности самой Cisco обнаружила и раскрыла эту уязвимость, опубликовав исправление одновременно с бюллетенем. И, добавил он, нет никаких известных признаков эксплуатации в реальных условиях, и публичное раскрытие информации не предшествовало собственному объявлению Cisco.
Хотя версия платформы SaaS уже исправлена Cisco, администраторам, использующим Cisco Secure Workload локально, не следует рассматривать это как задачу для планового цикла установки исправлений. «Учитывая природу этой уязвимости, идеальный балл CVSS, отсутствие необходимости в аутентификации и отсутствие доступных обходных путей, организации должны относиться к этому так, как к активной угрозе», — сказал он.
Это не единственный критический баг, с которым недавно столкнулись администраторы Cisco, но он имеет наивысший рейтинг по степени серьезности. В апреле администраторам пришлось заменить сертификат поставщика удостоверений в Webex Control Hub в рамках исправления для устранения уязвимости с рейтингом 9.8. В январе были выпущены исправления для закрытия критической уязвимости удаленного выполнения кода в Unified Communications Manager, Unity Connection и Webex Calling Dedicated Instance. А в декабре Cisco предупреждала, что связанная с Китаем хакерская группа активно использовала уязвимость нулевого дня в своих устройствах Secure Email.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon