A Cisco anunciou na terça-feira,18, patches para uma vulnerabilidade crítica no Redundancy Configuration Manager (RCM) para o software StarOS executado em seus dispositivos de rede ASR 5000. Uma função de nó/rede proprietária da Cisco, o RCM oferece redundância de funções de plano de usuário baseadas em StarOS.
Rastreada como CVE-2022-20649, a vulnerabilidade crítica recém-resolvida (pontuação 9,0 no CVSS) pode ser explorada remotamente, sem autenticação, para executar código “com privilégios de nível raiz no contexto do contêiner configurado”.
Em serviços específicos, o modo de depuração não foi habilitado corretamente, permitindo que um invasor se conecte ao dispositivo e navegue até esse serviço para explorar a vulnerabilidade.
“O invasor precisaria realizar um reconhecimento detalhado para permitir o acesso não autenticado. A vulnerabilidade também pode ser explorada por um invasor autenticado”, explica a Cisco em um comunicado.
O patch para CVE-2022-20649 também aborda um problema de gravidade média (CVE-2022-20648) que pode permitir que um invasor remoto não autenticado vaze informações confidenciais. A falha existe porque um serviço de depuração não filtra corretamente as conexões de entrada.
Ambos os defeitos de segurança foram resolvidos com o lançamento do RCM versão 21.25.4. A Cisco incentiva todos os clientes que ainda usam uma versão RCM anterior a 21.25 a migrar para uma versão fixa.
Veja isso
Alerta para falha de gravidade 9.8 no Cisco NFVIS
Cisco diz que não lançará patch para bug em roteadores VPN
Na terça-feira, a Cisco também anunciou a disponibilidade de patches para vulnerabilidades de alta gravidade no pré-processador Modbus do mecanismo de detecção Snort e na implementação da CLI para vários produtos Cisco.
Rastreado como CVE-2022-20685 (pontuação CVSS de 7,5), o primeiro dos bugs é um estouro de buffer que pode permitir que um invasor remoto não autenticado cause uma condição de negação de serviço (DoS) enviando tráfego Modbus criado por meio de um dispositivo afetado.
A Cisco anunciou a disponibilidade de atualizações de software para resolver a vulnerabilidade em vários produtos, incluindo FTD, Cybervision, Meraki MX, UTD e Snort.
Afetando a implementação da CLI em vários produtos e rastreado como CVE-2022-20655 (pontuação CVSS de 8,8), o segundo problema de alta gravidade é descrito como uma validação insuficiente de um argumento de processo.
Um invasor pode explorar a falha para injetar comandos que seriam executados com o nível de privilégio do processo da estrutura de gerenciamento, que geralmente é executado como root.
A Cisco publicou dois avisos para essa vulnerabilidade, um detalhando os patches para a estrutura de gerenciamento no dispositivo ConfD e outro lidando com as correções lançadas para vários dispositivos de rede.
A gigante da tecnologia diz que não identificou nenhuma dessas vulnerabilidades sendo exploradas em ataques maliciosos.