Cisco Identity Services Engine (ISE) tizimidagi zaiflik: tarmoqni to‘liq ishdan chiqarishi mumkin bo‘lgan zaiflik
Cisco kompaniyasi o‘zining korporativ tarmoqlarni boshqarish va autentifikatsiya jarayonlarini nazorat qilishda keng qo‘llaniladigan Cisco Identity Services Engine (ISE) mahsulotida jiddiy zaiflik aniqlanganini ma’lum qildi. Ushbu zaiflik CVE-2024-20399 identifikatori ostida qayd etilgan bo‘lib, masofadan turib hujum qilish orqali tizimni majburiy qayta ishga tushirish (Denial of Service — DoS) holatiga olib kelishi mumkin.
Zaiflik nimada?
Muammo RADIUS protokoli bilan bog‘liq. ISE autentifikatsiya jarayonida takror-takror muvaffaqiyatsiz bo‘lgan qurilmalardan kelayotgan so‘rovlarni avtomatik rad etish funksiyasiga ega. Biroq, aynan shu mantiqiy mexanizm xatoga ega: hujumchi maxsus shakllantirilgan RADIUS Access-Request paketlarini yuborib, tizim tomonidan rad etilgan MAC manzillarni nishonga olishi mumkin. ISE ushbu noto‘g‘ri shakllantirilgan so‘rovlarni qayta ishlayotganda xato yuzaga keladi va tizim kutilmaganda qayta yuklanadi.
Muhimi shundaki, hujumchiga hech qanday autentifikatsiya ma’lumotlari kerak emas — ular shunchaki RADIUS paketlarini jo‘natish bilan tizimni ishdan chiqarishi mumkin.
Qaysi versiyalar zaif?
Quyidagi versiyalarda zaiflik default holatda mavjud:
| CVE ID | Mahsulot / Versiya | Baholash (CVSS v3.1) | Zaiflik turi |
|---|---|---|---|
| CVE-2024-20399 | Cisco ISE 3.4.0, 3.4 Patch 1, 3.4 Patch 2, 3.4 Patch 3 | 7.5 (High) | Denial of Service (DoS) |
Shuningdek:
- ISE 3.3 va undan past versiyalar bu muammoga duch kelmaydi.
- 3.5 va undan yuqori versiyalar ham xavfsiz hisoblanadi.
Zaiflik avvaldan yoqilgan quyidagi sozlama bilan bog‘liq:
«Reject RADIUS requests from clients with repeated failures»
(Takror muvaffaqiyatsiz autentifikatsiya so‘rovlarini avtomatik rad etish)
Zaiflik oqibatlari
ISE — bu tarmoqdagi barcha qurilma va foydalanuvchi autentifikatsiyasini nazorat qiluvchi markaziy tizim. Uning kutilmaganda ishlamay qolishi quyidagilarga olib kelishi mumkin:
- foydalanuvchilar va qurilmalar tarmoqqa kira olmay qolishi,
- tarmoq faoliyati bo‘yicha monitoring vaqtincha to‘xtashi,
- biznes jarayonlari sekinlashishi yoki butunlay to‘xtashi,
- xavfsizlik siyosatlari ishlamasligi.
Yirik korporativ muhitlarda bunday uzilish bir necha daqiqada ham katta iqtisodiy va operatsion zarar yetkazishi mumkin.
Cisco tomonidan tavsiya etilgan choralar
Cisco kompaniyasi xavfni kamaytirish uchun ikki yo‘lni taklif qiladi:
1. Tezkor vaqtinchalik yechim (patch o‘rnatilgunga qadar):
RADIUS sozlamalarida mustaqil ravishda quyidagi funksiyani o‘chirib qo‘ying:
Administration → System → Settings → Protocols → RADIUS
«Reject RADIUS requests from clients with repeated failures» belgisi olib tashlanadi.
Bu vaqtinchalik himoya beradi.
2. Doimiy yechim (Cisco tavsiyasi):
ISE 3.4 Patch 4 yoki undan yuqori versiyaga yangilanadi.
Yangilashdan so‘ng, yuqoridagi sozlamani qayta yoqish mumkin.
CVE-2024-20399 — bu odatiy konfiguratsiya xatosi sababli yuzaga keladigan jiddiy zaiflik. Eng xavflisi, hujumchi hech qanday autentifikatsiya ma’lumotiga ega bo‘lmasdan, oddiy paketlarni jo‘natish orqali tarmoq autentifikatsiya markazini to‘liq ishdan chiqarishi mumkin.
Shuning uchun:
✅ darhol RADIUS funksiyasini vaqtincha o‘chirib qo‘ying,
✅ imkon qadar tezroq 3.4 Patch 4 yoki 3.5+ versiyaga yangilang,
✅ tarmoq monitoringini kuchaytiring va RADIUS loglarini tekshirib boring.
