A Cisco corrigiu vulnerabilidades de autenticação, escalonamento de privilégios e negação de serviço em vários de seus produtos, incluindo um que é usado para identificar a localização de chamados de emergência 911.
A falha no Cisco Emergency Responder é causada pela presença de credenciais estáticas padrão para a conta raiz que foram usadas durante o desenvolvimento, mas nunca foram removidas. Os usuários não podem alterar ou remover essas credenciais, apresentando uma backdoor permanente que permitiria que invasores executassem comandos nos sistemas afetados com os privilégios mais altos possíveis.
O Cisco Emergency Responder trabalha em conjunto com o Cisco Unified Communications Manager para aprimorar sua funcionalidade 911, identificando a localização dos chamados de emergência para que possam ser roteados para o ponto de atendimento de segurança pública apropriado. Ele também permite que os socorristas monitorem dinamicamente as alterações de localização do chamador ou do telefone.
As credenciais de raiz estática estão presentes apenas na versão 12.5(1) SU41 do software e foi corrigida no release 12.5(1) SU5. A versão 14 do firmware, bem como as versões 11.5 e anteriores não são afetadas. A falha, rastreada como CVE-2023-2010, é classificada como crítica.
Vulnerabilidade de endpoint da API
Outra vulnerabilidade que afeta o Cisco Emergency Responder, bem como vários outros produtos Cisco Unified Communications está em um endpoint de API e pode levar a uma condição de negação de serviço (DoS). A falha pode ser explorada sem autenticação enviando solicitações especificamente criadas para o ponto de extremidade vulnerável da API para acionar a alta utilização da CPU. Isso, por sua vez, poderia impedir o acesso à interface de gerenciamento baseada na web dos dispositivos ou levar a atrasos no processamento de chamadas.
A vulnerabilidade, rastreada como CVE-2023-20259, é classificada como de alta gravidade e afeta o Emergency Responder, o Prime Collaboration Deployment, o Unified Communications Manager (Unified CM), o Unified Communications Manager IM & Presence Service (Unified CM IM&P), o Unified Communications Manager Session Management Edition (Unified CM SME) e o Unity Connection. A Cisco lançou atualizações de firmware para todos os sistemas afetados.
Veja isso
Cisco alerta sobre dia zero em VPN explorado por ransomware
Falha no software Cisco NX-OS permite ataque DoS
Uma terceira falha, CVE-2021-1572, foi corrigida no Cisco Network Services Orchestrator (NOS) e pode levar ao escalonamento de privilégios se um invasor tiver acesso a uma conta com privilégios baixos no sistema e o sistema tiver o servidor Secure Shell (SSH) para a interface de linha de comando (CLI) habilitado. O problema é causado pelo fato de que o serviço de usuário SFTP é executado com os mesmos privilégios que a conta que foi usada para habilitar o servidor SSH interno e essa conta é raiz por padrão.
“Qualquer usuário que possa se autenticar no servidor SSH integrado pode explorar essa vulnerabilidade”, alerta a Cisco em seu comunicado. “Por padrão, todos os usuários do Cisco NSO têm esse acesso se o servidor estiver habilitado.”
A boa notícia é que o servidor SSH interno está desabilitado por padrão em uma instalação do sistema NSO. A má notícia é que a maioria das versões suportadas do NSO é afetada quando o SSH está habilitado.
