A Cisco emitiu alerta aos clientes nesta quarta-feira, 17, sobre quatro vulnerabilidades críticas de execução remota de código (RCE) com código de exploração pública afetando vários switches Small Business Series.
Todas as quatro falhas de segurança receberam pontuações de gravidade quase máximas, de 9.8/10, no sistema de pontuação comum de vulnerabilidades (CVSS). A exploração bem-sucedida permite que invasores executem código arbitrário com privilégios de root (de administrador) em dispositivos comprometidos.
As vulnerabilidades — rastreadas como CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 e CVE-2023-20189 — são causadas pela validação inadequada de solicitações enviadas às interfaces da web dos switches visados. Invasores podem explorá-las por meio de solicitações elaboradas com códigos maliciosos enviadas por meio das interfaces de usuário baseadas na web dos dispositivos visados em ataques de baixa complexidade que não exigem interação do usuário.
“As vulnerabilidades não dependem umas das outras. A exploração de uma das vulnerabilidades não é necessária para explorar outra”, explicou a Cisco. “Além disso, uma versão de software afetada por uma das vulnerabilidades pode não ser afetada pelas outras vulnerabilidades.”
A lista de switches Cisco afetados inclui:
- Switches inteligentes da série 250, switches gerenciáveis da série 350, switches gerenciáveis empilháveis da série 350X e switches gerenciáveis empilháveis da série 550X (fixo na versão de firmware 2.5.9.16);
- Switches inteligentes da série Business 250 e switches gerenciados da série Business 350 (corrigido na versão de firmware 3.3.0.16);
- Switches inteligentes da série 200 para pequenas empresas, switches gerenciáveis para pequenas empresas da série 300, switches gerenciáveis empilháveis para pequenas empresas da série 500 (sem patch disponível).
A Cisco diz que o firmware dos switches Small Business das séries 200, 300 e 500 não será corrigido porque esses dispositivos já entraram no processo de fim de vida.
A equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) também revelou que o código de exploração de prova de conceito está disponível para essas falhas de segurança, o que pode levar à exploração ativa se operadores de ameaças criarem seus próprios.
Veja isso
Cisco corrige falhas graves e críticas em vários produtos
Cisco adquire a empresa de segurança em nuvem Lightspin
A empresa alertou nesta quarta-feira que sua Equipe de Resposta a Incidentes de Segurança de Produto (PSIRT) está “ciente de que o código de exploração de prova de conceito (PoC) está disponível” para essas falhas de segurança, o que pode permitir que os agentes de ameaças tenham como alvo dispositivos vulneráveis expostos ao acesso remoto. No entanto, o PSIRT diz não ter encontrado evidências de que houve tentativas de explorar as vulnerabilidades em ataques.
A Cisco também está trabalhando na correção de uma vulnerabilidade de cross-site scripting (XSS) em sua ferramenta de gerenciamento de servidor Prime Collaboration Deployment (PCD), relatada por Pierre Vivegnis do Cyber Security Center (NCSC) da Otan. Um comunicado conjunto divulgado pelos EUA, Reino Unido e Cisco alertou recentemente que hackers militares russos do grupo APT 28 estão implantando o malware personalizado Jaguar Tooth em roteadores Cisco IOS para obter acesso não autenticado a dispositivos comprometidos.