A Cisco Lança Patch Urgente para Corrigir Falha Crítica em Sistemas de Resposta a Emergências
6 de Outubro de 2023

A Cisco lançou atualizações para corrigir uma falha de segurança crítica que afeta o Responder de Emergência e permite que invasores remotos não autenticados acessem sistemas suscetíveis usando credenciais codificadas.

A vulnerabilidade, identificada como CVE-2023-20101 (pontuação CVSS: 9.8), é devido à presença de credenciais de usuário estáticas para a conta root que a empresa disse ser geralmente reservada para uso durante o desenvolvimento.

"Um invasor poderia explorar essa vulnerabilidade usando a conta para fazer login em um sistema afetado", disse a Cisco em um aviso.

"Um exploit bem-sucedido permitiria ao invasor fazer login no sistema afetado e executar comandos arbitrários como o usuário root."

O problema afeta o Emergency Responder da Cisco Release 12.5(1)SU4 e foi corrigido na versão 12.5(1)SU5.

Outras versões do produto não são afetadas.

O major fabricante de equipamentos de rede disse que descobriu o problema durante testes internos de segurança e que não tem conhecimento de qualquer uso malicioso da vulnerabilidade na prática.

A divulgação acontece menos de uma semana depois que a Cisco alertou sobre a tentativa de exploração de uma falha de segurança em seu Software IOS e Software IOS XE ( CVE-2023-20109 , pontuação CVSS: 6,6) que poderia permitir a um invasor remoto autenticado executar remotamente códigos em sistemas afetados.

Na ausência de soluções alternativas temporárias, os clientes são aconselhados a atualizar para a versão mais recente para mitigar ameaças potenciais.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...