A Cisco liberou atualizações de software para corrigir uma falha de segurança crítica que afeta o Cisco Meeting Management, a qual pode permitir que um atacante remoto autenticado obtenha privilégios de administrador em instâncias susceptíveis.
A vulnerabilidade, identificada como
CVE-2025-20156
, tem uma pontuação CVSS de 9.9 em 10.0.
Ela foi descrita como uma falha de escalonamento de privilégios na REST API do Cisco Meeting Management.
"Essa vulnerabilidade existe porque a autorização apropriada não é imposta aos usuários da REST API," disse a empresa em um comunicado na quarta-feira(22).
"Um atacante poderia explorar essa vulnerabilidade enviando solicitações de API para um endpoint específico." "Uma exploração bem-sucedida poderia permitir ao atacante ganhar controle no nível de administrador sobre os edge nodes que são gerenciados pelo Cisco Meeting Management."
A grande fornecedora de equipamentos de rede atribuiu crédito a Ben Leonard-Lagarde da Modux por relatar a deficiência de segurança.
A falha afeta as seguintes versões do produto, independentemente da configuração do dispositivo:
- Cisco Meeting Management versão de lançamento 3.9 (Corrigida na 3.9.1)
- Cisco Meeting Management versões de lançamento 3.8 e anteriores (Migração para uma versão corrigida)
- Cisco Meeting Management versão de lançamento 3.10 (Não vulnerável)
A Cisco também lançou correções para uma falha de negação de serviço (DoS) que afeta o BroadWorks, decorrente do manuseio inadequado de memória para determinadas solicitações do Protocolo de Iniciação de Sessão (SIP) (
CVE-2025-20165
, pontuação CVSS: 7.5).
O problema foi corrigido na versão RI.2024.11.
"Um atacante poderia explorar essa vulnerabilidade enviando um grande número de solicitações SIP para um sistema afetado," disse ela.
Uma exploração bem-sucedida poderia permitir ao atacante esgotar a memória alocada aos Servidores de Rede Cisco BroadWorks que lidam com o tráfego SIP.
Se nenhuma memória estiver disponível, os Servidores de Rede não podem mais processar solicitações de entrada, resultando em uma condição DoS que requer intervenção manual para recuperação.
Uma terceira vulnerabilidade corrigida pela Cisco é a
CVE-2025-20128
(pontuação CVSS: 5.3), um bug de underflow de inteiro que afeta a rotina de descriptografia Object Linking and Embedding 2 (OLE2) do ClamAV, que também poderia resultar em uma condição DoS.
A empresa, que reconheceu o Google OSS-Fuzz por relatar a falha, disse estar ciente da existência de um código de exploração de conceito (PoC), embora não haja evidências de que tenha sido explorado maliciosamente no mundo real.
Notícias das falhas da Cisco vêm à medida que as agências de aplicação da lei e cibersegurança do governo dos EUA divulgaram detalhes técnicos de duas cadeias de exploração armadas por equipes de hacking de estados-nação para invadir aplicativos de serviço em nuvem da Ivanti em setembro de 2024.
As vulnerabilidades em questão são as seguintes:
-
CVE-2024-8963
, uma vulnerabilidade de bypass administrativo
-
CVE-2024-9379
, uma vulnerabilidade de injeção SQL
-
CVE-2024-8190
e
CVE-2024-9380
, duas vulnerabilidades de execução de código remoto (RCE)
As sequências de ataque, segundo a Cybersecurity and Infrastructure Security Agency (CISA) e a Federal Bureau of Investigation (FBI), envolveram o abuso do
CVE-2024-8963
em conjunto com o
CVE-2024-8190
e
CVE-2024-9380
em um caso, e
CVE-2024-8963
e
CVE-2024-9379
no outro.
É válido notar que a primeira cadeia de exploração foi divulgada pela Fortinet FortiGuard Labs em outubro de 2024.
Em pelo menos uma instância, acredita-se que os atores de ameaça tenham conduzido movimentos laterais após obterem um ponto de apoio inicial.
A segunda cadeia de exploração foi encontrada para aproveitar o
CVE-2024-8963
em combinação com o
CVE-2024-9379
para obter acesso à rede alvo, seguido por tentativas malsucedidas de implantar web shells para persistência.
"Os atores de ameaças encadearam as vulnerabilidades listadas para ganhar acesso inicial, conduzir execução de código remoto (RCE), obter credenciais e implantar web shells nas redes das vítimas," disseram as agências.
Credenciais e dados sensíveis armazenados dentro dos aparelhos Ivanti afetados devem ser considerados comprometidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...