CVE-2018-6961

Суть уязвимости

Злоумышленник может выполнить произвольные команды на уровне операционной системы устройства SD-WAN Edge, отправив специально сформированный HTTP-запрос к веб-интерфейсу управления (Local Web UI). Для этого не требуется аутентификация. Успешная эксплуатация приводит к полному удаленному выполнению кода (RCE) и компрометации устройства.

Как исправить

Уязвимость устранена в обновленных версиях программного обеспечения VeloCloud Edge. Необходимо обновить прошивку (firmware) всех устройств SD-WAN Edge до одной из следующих версий: * 3.2.0 или новее * 3.1.2 или новее * 3.0.3 или новее * 2.5.1 или новее

Процедура обновления: 1. Войдите в портал Orchestrator (https://<your-orchestrator>.velocloud.net/). 2. Перейдите в раздел Configure -> Edge Upgrades. 3. В поле Software Version выберите целевую исправленную версию (например, 3.2.0). 4. В поле Edges выберите уязвимые устройства или профиль, к которому они привязаны. 5. Нажмите Upgrade Edges и подтвердите действие. Устройства перезагрузятся с новой прошивкой.

Временное решение

Если немедленное обновление невозможно, строго ограничьте доступ к веб-интерфейсу устройства (Local Web UI): 1. Ограничьте сетевой доступ. Настройте правила межсетевого экрана (ACL) на upstream-маршрутизаторах или на самом Edge, чтобы разрешить подключение к порту веб-интерфейса TCP/443 только с доверенных IP-адресов (например, с адресов администраторов или сети NOC). bash # Пример концептуального правила для iptables на шлюзе (подставьте свои IP) iptables -A FORWARD -p tcp --dport 443 -d <IP_вашего_Edge> -s <IP_доверенной_сети> -j ACCEPT iptables -A FORWARD -p tcp --dport 443 -d <IP_вашего_Edge> -j DROP 2. Отключите неиспользуемые интерфейсы. Если к интерфейсам Edge (например, LAN) имеют доступ недоверенные пользователи, убедитесь, что на них не разрешен административный доступ к устройству. 3. Используйте Orchestrator. Для управления используйте централизованный портал Orchestrator через защищенное подключение, доступ к которому должен быть также строго ограничен.