.
Um certificado de segurança expirado está ameaçando causar estragos nas redes de longa distância dos clientes da Cisco. Para variar, desligar e ligar o equipamento só vai piorar as coisas.
Em um boletim Publicados esta semana, a Cisco alertou que os clientes que usam dispositivos vEdge SD-WAN podem sofrer perda total de serviço se o dispositivo for recarregado, atualizado ou se novos modelos forem enviados.
O culpado: um certificado criptográfico, afetando o plano de controle do dispositivo SD-WAN, expirou na terça-feira, 9 de maio. “Se não for resolvido, isso pode afetar as conexões do plano de dados e resultar em tempo de inatividade do SD-WAN”, diz o boletim da Cisco.
Entende-se que este certificado de nível de hardware é armazenado no TPM dos dispositivos. E lembre-se, mesmo que você não reinicie ou atualize manualmente seu equipamento, há temporizadores nos dispositivos que, por padrão, iniciarão uma recarga que acionará a interrupção como resultado do certificado agora morto.
‘bomba-relógio’
Essa expiração inesperada pode ter implicações abrangentes para empresas que dependem dos produtos Viptela SD-WAN da Cisco para comunicação entre seus escritórios satélites, sedes e datacenters. Embora o escopo da confusão não seja claro, muitos internautas relatado interrupções como resultado da expiração do certificado.
“Todos os clientes SD-WAN baseados em vEdge estão sentados em uma bomba-relógio, olhando para o relógio com as palmas das mãos suadas, esperando a implosão da WAN de suas empresas e/ou descobrindo como re-arquitetar sua WAN para manter a conectividade”, como disse um deles. isto.
Além das interrupções de serviço, a Cisco disse que as organizações podem enfrentar outras falhas, incluindo:
- Perda de conexões com vSmart e/ou vManage
- Port-hopping de alguma forma impactado
- Alterações de política de controle afetadas, incluindo alterações de topologia
- Interface oscilando
No momento da publicação, parece que a Cisco lançou um patch para resolver o problema. Postando para Twitter Na manhã de quarta-feira, Daniel Dib, arquiteto de rede sênior da parceira da Cisco Conscia Sverige, compartilhou um link (bloqueado) para uma atualização de software para resolver a interrupção e disse que atualizações adicionais seriam lançadas em breve:
Com base na documentação, o patch provavelmente equivale à substituição do certificado. Infelizmente, não parece que a atualização fará muito bem para dispositivos que já foram tornados inoperantes pelos certificados expirados. A Cisco recomenda que os clientes com gateways emparedados entrem em contato com a Cisco para obter assistência.
Strong The One entrou em contato com nossos contatos na Cisco para comentar como o certificado foi autorizado a expirar e o que a gigante de TI está fazendo para ajudar as pessoas atingidas pelo erro. O golias da rede se recusou a comentar mais.
Esta não é a primeira vez que isso aconteceu. Conforme relatamos em 2018, um problema muito semelhante tirou Cisco VPNs para clientes que usam o APIC-EM (Application Policy Infrastructure Controller Enterprise Module) do fabricante com o nome encantador.
Esse controlador SDN dependia de um certificado SSL que a Cisco negligenciou em renovar, causando todo tipo de dor de cabeça para os administradores de rede que tentavam provisionar conexões para filiais e hubs.
Embora você possa pensar que as empresas manteriam o controle sobre quando os certificados expirariam para evitar esses tipos de dispendiosos, para não mencionar abalos de confiança, percalços, eles não são incomuns. Um mergulho em El RegOs arquivos da empresa revelam muitos exemplos, incluindo vários que borked recursos do Microsoft Windows. Então, pelo menos a Cisco tem companhia. ®
.
