A vállalati hálózatok biztonsága kiemelten fontos napjainkban, különösen mivel a dolgozók távoli munkavégzése egyre inkább a mindennapi üzleti működés részévé válik. Az egyik legelterjedtebb VPN megoldás, amelyet a vállalatoka biztonságos távoli hozzáférés biztosítására használnak, a Cisco AnyConnect VPN. Azonban a legújabb hírek szerint egy komoly sérülékenység került felfedezésre a Cisco AnyConnect VPN szolgáltatásában, amely kifejezetten a Cisco Meraki MX és Z Series eszközeit érinti.
Ez a sérülékenység, amelyet CVE-2025-20271 azonosítóval láttak el, lehetővé teszi egy nem hitelesített támadó számára, hogy szolgáltatásmegtagadást (DoS) idézzen elő, megszakítva a VPN kapcsolataikat és teljesen elérhetetlenné téve a VPN szolgáltatást. A hiba jelentős kockázatot jelent a cégek számára, amelyek biztonságos távoli elérést biztosítanak alkalmazottjaik számára, ezért rendkívül fontos a gyors reagálás és a sérülékenység mihamarabbi javítása.
Ebben a cikkben részletesen bemutatjuk a sérülékenység technikai hátterét, az érintett eszközöket, a védekezési lehetőségeket, valamint a legjobb gyakorlatokat, hogy hogyan lehet minimalizálni a kockázatokat és megvédeni a vállalati hálózatokat.
A sérülékenység technikai részletei
A CVE-2025-20271 egy kritikus sérülékenység, amely a Cisco AnyConnect VPN megoldásban található, és kizárólag a Cisco Meraki MX és Z Series eszközöket érinti. A probléma a változó inicializálás hibájában rejlik, amely akkor lép fel, amikor SSL VPN kapcsolatot hoznak létre, kliens tanúsítványos hitelesítéssel. A hiba lehetővé teszi, hogy egy támadó kézzel készített HTTPS kéréseket küldjön az érintett eszközöknek.
Amikor a támadó sikeresen kihasználja a sérülékenységet, a Cisco AnyConnect VPN szolgáltatás összeomlik, és újraindul. Ennek következményeként az összes aktív VPN kapcsolat megszakad, és a felhasználóknak újra kell hitelesíteniük magukat, ami jelentős diszkomfortot okozhat a távoli dolgozók számára. Azonban a probléma nem áll meg ennyiben: a támadók folytathatják a támadást, ami azt eredményezheti, hogy a VPN szolgáltatás hosszú időn keresztül elérhetetlenné válik, megakadályozva az új SSL VPN kapcsolatok létesítését.
A sérülékenység magas, 8.6-os CVSS (Common Vulnerability Scoring System) pontszámot kapott, ami azt jelzi, hogy a hiba komoly biztonsági kockázatot jelent a vállalatok számára, amelyek a Cisco Meraki eszközöket használják távoli hozzáféréshez.
Érintett eszközök
A sérülékenység a Cisco Meraki MX és Z Series eszközök széles körét érinti. Az alábbi modellek mindegyike veszélyeztetett, ha az adott eszközön a Cisco AnyConnect VPN és a kliens tanúsítványos hitelesítés engedélyezve van:
- MX Series: MX64, MX65, MX67, MX68, MX75, MX84, MX100, MX250, MX450
- vMX (virtuális eszköz)
- Z Series: Z3, Z3C, Z4, Z4C
A sérülékenység csak akkor jelent problémát, ha az eszközök egy bizonyos firmware verzióval futnak, és ha az AnyConnect VPN szolgáltatás aktívan működik kliens tanúsítványos hitelesítéssel. Azok az eszközök, amelyek nem használják ezt a konfigurációt, nem veszélyeztetettek.
A Cisco Meraki eszközök számára elérhető legújabb frissítések biztosítják a hiba kijavítását, azonban azok az eszközök, amelyek régebbi firmware verziókkal rendelkeznek (16.2-es vagy annál régebbi), nem érintettek a sérülékenység által.
Hogyan ellenőrizhetjük, hogy érintettek vagyunk-e?
A Cisco Meraki eszközök rendszergazdái számára egyszerű módja van annak ellenőrzésére, hogy az eszközök érintettek-e a sérülékenység által. Ehhez a következő lépéseket kell követniük:
- Jelentkezzenek be a Cisco Meraki Dashboardba: A rendszergazdák hozzáférhetnek a Cisco Meraki felügyeleti felületéhez a hivatalos weboldalon.
- Eszköz beállításainak ellenőrzése:
- MX sorozatú eszközök esetében navigáljanak a Security & SD-WAN > Configure > Client VPN menüpontba.
- Z Series eszközöknél válasszák a Teleworker Gateway > Configure > Client VPN opciót.
- Az AnyConnect Settings fülön ellenőrizzék, hogy az Enabled (engedélyezett) lehetőség be van-e kapcsolva. Ha igen, akkor a rendszer potenciálisan sérülékeny.
- Az Authentication & Policy szekcióban, ha a Certificate authentication engedélyezve van, az eszköz valószínűleg érintett.
Ha az eszközök megfelelnek ezeknek a feltételeknek, akkor a Cisco szakemberei a rendszer újabb firmware verzióra való frissítését javasolják.
A sérülékenység kijavítása és védekezési lehetőségek
A Cisco már rendelkezésre bocsátotta a szoftverfrissítéseket, amelyek javítják a CVE-2025-20271-es sérülékenységet. A rendszergazdáknak az alábbi verziók vagy az ezeknél újabbak telepítése javasolt:
- 18.1.x: 18.107.13
- 18.2.x: 18.211.6
- 19.1: 19.1.8
A rendszergazdáknak javasolt mihamarabb alkalmazniuk ezeket a javításokat, hogy megakadályozzák a támadások sikerességét és biztosítsák a VPN szolgáltatás folyamatos működését.
Továbbá, mivel a Cisco Meraki MX és Z Series eszközök közül néhány modell már elérte életciklusa végét, és nem kap további frissítéseket (például MX400 és MX600 modellek), a rendszergazdáknak javasolt mérlegelniük az új hardverek beszerzését.
A vállalatok számára elengedhetetlen, hogy figyelemmel kísérjék a VPN kapcsolatokat, és figyeljenek a szokatlan aktivitásokra a naplókban. A folyamatos biztonsági ellenőrzések és a gyors reagálás csökkenthetik a támadások hatásait.
Befejezés
A Cisco AnyConnect VPN sérülékenysége a Cisco Meraki MX és Z Series eszközökön kiemeli a távoli hozzáférési megoldások biztonságának fontosságát a modern vállalati környezetben. Az SSL VPN szolgáltatások gyakran kritikus szerepet játszanak a távoli munkavégzés lehetővé tételében, így elengedhetetlen a sérülékenységek gyors és hatékony kezelése. A vállalatoknak biztosítaniuk kell, hogy eszközeik és szoftvereik mindig naprakészek legyenek, és hogy megfelelő védelmet nyújtsanak az ilyen típusú támadásokkal szemben.
A megfelelő frissítések és biztonsági intézkedések alkalmazása nemcsak a jelenlegi fenyegetéseket hárítja el, hanem biztosítja a vállalatok hosszú távú védelmét is a jövőbeni támadások ellen.