Além de Microsoft, Oracle, SAP, a Cisco também publicou esta semana patches para seus produtos. Ela publicou na última quarta-feira 33 atualizações para seu software em diversos appliances, corrigindo vários problemas de segurança, cinco dos quais são considerados críticos ou graves.
Entre essas cinco vulnerabilidades críticas estão dois bugs de execução remota de código (identificados como CVE-2020-3323 e CVE-2020-3321), para os quais não existem soluções alternativas – a única que existe é o patch; outra é um bypass de autenticação (CVE-2020-3144), outra uma escalação de privilégios (CVE-2020-3140) e a quinta é a existência de credencial padrão estática ( CVE-2020-3330 ).
Veja isso
Falha corrigida pela Cisco permitia invasão de call no Webex
Adoção repentina de VPNs pegou até a Cisco de surpresa
Entre os dispositivos afetados estão vários roteadores da série RV, o firewall da série RV110W e o Cisco Prime License Manager. Além dos cinco bugs críticos, a Cisco postou correções para 11 vulnerabilidades listadas no CVE, consideradas de alto risco à segurança. Dessas 11, sete foram para problemas no Cisco SD-WAN, incluindo:
CVE-2020-3180: credenciais estáticas,
CVE-2020-3351: negação de serviço,
CVE-2020-3385: negação de serviço,
CVE-2020-3387: execução remota de código,
CVE-2020-3381: passagem de diretório,
CVE-2020-3369: negação de serviço e
CVE-2020-3388: injeção de comando.
As outras correções graves resolveram a execução de código remoto e as falhas que permitem negação de serviço (CVE-2020-3357, CVE-2020-3358, CVE-2020-3145 e CVE-2020-3146) na série de roteadores RV.
Os 15 patches restantes limpam problemas considerados vulnerabilidades de segurança “médias” em produzot como WebEx, SD-WAN e gerenciador de rede de datacenter.
Os administradores são aconselhados a testar e instalar os patches o mais rápido possível. Como a empresa não mencionou se alguma das falhas estava sendo explorada na internet, é aconselhável a aplicação imediata das correções.
