Cisco waarschuwt voor ernstig beveiligingslek in IOS en IOS XE Software

Het beveiligingslek is geclassificeerd als 'High' met een CVSS-score van 7.7 en treft alle versies van SNMP. Het probleem ligt bij een 'stack overflow' in de SNMP-subsystemen van de software. Aanvallers kunnen een speciaal gecreëerd SNMP-pakket sturen naar een kwetsbaar apparaat om de kwetsbaarheid te misbruiken.

Mogelijke gevolgen

De gevolgen van een succesvolle aanval variëren afhankelijk van de privileges van de aanvaller:

• Een aanvaller met lage privileges en SNMPv2c of v3-credentials kan een DoS-aanval uitvoeren, waardoor het apparaat opnieuw opstart en de netwerkdienst wordt onderbroken.
• Een aanvaller met hoge privileges, SNMP-credentials en administratieve rechten kan willekeurige code uitvoeren als de 'root'-gebruiker, wat volledige controle over het systeem oplevert.

De kwetsbaarheid is al actief misbruikt in het wild, wat de urgentie van de waarschuwing onderstreept. Het Cisco Product Security Incident Response Team (PSIRT) adviseert alle klanten dringend om zo snel mogelijk hun software te updaten.

Tijdelijke oplossingen en advies

Cisco heeft geen eenvoudige 'workarounds' beschikbaar, maar biedt wel mitigatie-opties. Beheerders wordt geadviseerd om SNMP-toegang uitsluitend te beperken tot vertrouwde gebruikers en de configuratie te monitoren. Daarnaast kunnen specifieke, kwetsbare Object IDs (OIDs) handmatig worden uitgesloten, hoewel dit de functionaliteit van SNMP kan beïnvloeden.

De kwetsbaarheid treft onder andere Cisco Catalyst 9300-serie switches en Meraki MS390 die oudere softwareversies draaien. Producten zoals Cisco IOS XR en NX-OS software worden niet beïnvloed.

Voor gedetailleerde informatie over de getroffen softwareversies en de benodigde updates verwijst Cisco naar de officiële security advisory op hun website.