CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

networking_thumb_800x450_001.jpg

Alerta para falha de gravidade 9.8 no Cisco NFVIS

Da Redação
06/09/2021

Existe um risco de bypass de autenticação no NFVIS, o software da infraestrutura de virtualização da função de rede da Cisco Enterprise. O risco é elevado, com CVSS 9.8 conforme boletim de segurança da Cisco publicado na quarta-feira dia 1 de setembro. Tão elevado que no dia seguinte mereceu um boletim de alerta da CISA, a agência de segurança de cyber e infraestrutura do governo dos EUA. A CISA afirma que um atacante remoto pode explorar a vulnerabilidade para assumir o controle de um sistema afetado.

A vulnerabilidade está no recurso de autenticação, autorização e contabilidade (AAA) TACACS + do NFVIS. O boletim da Cisco explica que “essa vulnerabilidade se deve à validação incompleta da entrada fornecida pelo usuário que é passada para um script de autenticação. Um invasor pode explorar esta vulnerabilidade injetando parâmetros em uma solicitação de autenticação. Uma exploração bem-sucedida pode permitir que o invasor ignore a autenticação e faça login como administrador no dispositivo afetado”.

Veja isso
Cisco diz que não lançará patch para bug em roteadores VPN
Cisco corrige falhas de alta gravidade em roteadores VPN

A Cisco lançou atualizações de software que corrigem essa vulnerabilidade. A empresa afirma que não há soluções alternativas que resolvam o problema. Ele afeta o Cisco Enterprise NFVIS Release 4.5.1 se o método de autenticação externa TACACS estiver configurado.

O comunicado da cisco contém uma checagem para ser feita em command lina para confirmar se a instalação do cliente contém a vulnerabilidade. A empresa acrescentou no comunicado que “o Cisco Product Security Incident Response Team (PSIRT) está ciente de que o código de exploração de prova de conceito está disponível para a vulnerabilidade descrita neste comunicado. O Cisco PSIRT não está ciente de qualquer uso malicioso da vulnerabilidade descrita neste comunicado “. A empresa agradeceu a Cyrille Chatras, do Orange Group, por relatar o problema.

Com agências de notícias internacionais

Compartilhar: