Cisco revela falha zero-day XSS em ferramenta de gerenciamento de servidor
27 de Abril de 2023

A Cisco divulgou hoje uma vulnerabilidade zero-day no software Prime Collaboration Deployment (PCD) da empresa, que pode ser explorada para ataques de cross-site scripting.

Essa utilidade de gerenciamento de servidor permite que os administradores realizem tarefas de migração ou atualização em servidores no inventário de suas organizações.

O bug, rastreado como CVE-2023-20060, foi encontrado na interface de gerenciamento baseada na web do Cisco PCD 14 e anterior pelo Pierre Vivegnis do NATO Cyber Security Centre (NCSC).

A exploração bem-sucedida permite que atacantes não autenticados lancem ataques de cross-site scripting remotamente, mas requer interação do usuário.

"Essa vulnerabilidade existe porque a interface de gerenciamento baseada na web não valida corretamente a entrada fornecida pelo usuário.

Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário da interface a clicar em um link criado", explica a Cisco.

"Uma exploração bem-sucedida poderia permitir que o invasor execute código de script arbitrário no contexto da interface afetada ou acesse informações sensíveis baseadas no navegador".

Embora a Cisco tenha compartilhado informações sobre o impacto da falha, a empresa lançará atualizações de segurança para resolvê-la em algum momento do próximo mês.

Por enquanto, não há soluções alternativas disponíveis para remover o vetor de ataque.

Felizmente, a equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) ainda não encontrou evidências de uso malicioso e não está ciente de código de exploração público direcionado à falha.

A Cisco também precisa corrigir outra vulnerabilidade zero-day de alta gravidade em IP Phone ( CVE-2022-20968 ) com código de exploração publicamente disponível, divulgado no início de dezembro de 2023.

O PSIRT da Cisco alertou na época que "está ciente de que o código de exploração de prova de conceito está disponível" e que "a vulnerabilidade foi discutida publicamente".

Embora a empresa tenha prometido que as atualizações de segurança serão lançadas em janeiro de 2023, a falha permanece sem correção meses após a divulgação inicial.

Os dispositivos afetados pelo CVE-2022-20968 incluem telefones IP da Cisco que executam o firmware da série 7800 e 8800 na versão 14.2 e anterior.

Embora a Cisco não tenha fornecido uma solução alternativa para essa vulnerabilidade zero-day do IP Phone, ela aconselhou os administradores a aplicarem medidas de mitigação temporárias, que exigem desativar o Protocolo de Descoberta da Cisco em dispositivos afetados que suportam o Link Layer Discovery Protocol (LLDP) como opção de fallback.

"Esta não é uma mudança trivial e exigirá diligência por parte da empresa para avaliar qualquer impacto potencial nos dispositivos, bem como a melhor abordagem para implantar essa mudança em sua empresa", alertou a empresa na época.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...