A Cisco lançou patches para duas vulnerabilidades de escalonamento de privilégios em seu Integrated Management Controller (IMC), que é usado para controlar o gerenciamento out-of-band (gerenciamento remoto de dispositivos de rede) e de muitos de seus produtos de servidor, bem como de vários dispositivos. As falhas podem permitir que invasores executem comandos como root (com privilégio de super usuário) no sistema operacional, um deles já possui código de exploração de prova de conceito disponível publicamente.
As duas vulnerabilidades, rastreadas como CVE-2024-20295 e CVE-2024-20356, são classificadas com escore de 8.8 e 8.7, respectivamente, no sistema de pontuação comum de vulnerabilidades (CVSS), o que equivale a alta severidade. Ambas podem ser exploradas pela rede se as interfaces IMC forem acessáveis remotamente, mas a razão pela qual não são classificadas como críticas é porque os invasores precisam ser autenticados e já ter alguns privilégios.
O Cisco IMC é um controlador de gerenciamento de banda base (BMC), um processador dedicado que geralmente é incluído em servidores e executa software especializado que permite o monitoramento e gerenciamento remoto do hardware de um sistema, mesmo quando seu sistema operacional principal está desligado. Como os BMCs geralmente possuem CPU, memória, portas de rede dedicadas e até mesmo seu próprio sistema operacional, eles são frequentemente descritos como pequenos computadores executados dentro de computadores maiores.
O IMC está presente em vários servidores Cisco Unified Computing System (UCS), bem como em dispositivos Cisco específicos baseados nesses servidores. As duas vulnerabilidades estão presentes em diferentes interfaces IMC.
A falha CVE-2024-20295 está no IMC CLI e decorre da validação insuficiente da entrada fornecida pelo usuário. Um invasor com privilégios somente leitura ou superiores em um dispositivo afetado e com acesso à CLI do IMC pode injetar comandos que serão executados com privilégios de root.
A vulnerabilidade afeta o Cisco 5000 Series Enterprise Network Compute Systems (ENCS), Catalyst 8300 Series Edge uCPE, UCS C-Series Rack Servers em modo autônomo e o UCS E-Series Servers em configurações padrão. Muitos outros produtos e dispositivos baseados em servidores UCS C-Series também serão afetados se a CLI do IMC for explicitamente configurada para ser acessível — o IMC não é exposto por padrão nesses dispositivos.
A equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) está ciente da disponibilidade de código público de prova de conceito (PoC) para esta vulnerabilidade, mas afirma não ter verificado nenhuma exploração maliciosa.
A segunda vulnerabilidade, CVE-2024-20356, está localizada na interface de gerenciamento baseada na web do Cisco IMC e pode ser explorada por invasores que tenham privilégios de administrador por meio de comandos especialmente criados.
Veja isso
Cisco alerta sobre roubo de registros de SMS para login MFA
Cisco corrige bug em produtos de colaboração empresarial
A falha afeta o Cisco 5000 Series Enterprise Network Compute Systems (ENCS), Catalyst 8300 Series Edge uCPE, UCS C-Series M5, M6 e M7 Rack Servers em modo autônomo, UCS E-Series Servers e o UCS S-Series Storage Servers em modo autônomo modo. Da mesma forma que a vulnerabilidade anterior, os dispositivos baseados em servidores UCS C-Series também serão afetados se suas configurações padrão forem alteradas para expor a interface do usuário IMC.
A maioria dos fabricantes de servidores possui suas próprias implementações de BMC e esses controladores e seus softwares possuem um histórico de vulnerabilidades graves. Operadores de ameaças sofisticados, incluindo grupos APT, criaram até implantes de malware direcionados a essas interfaces.
Para saber mais detalhes sobre as duas vulnerabilidades, clique no CVE-2024-20295 e no CVE-2024-20356.