A Cisco divulgou hoje uma vulnerabilidade zero-day no software Prime Collaboration Deployment (PCD) da empresa, que pode ser explorada para ataques de cross-site scripting.
Essa utilidade de gerenciamento de servidor permite que os administradores realizem tarefas de migração ou atualização em servidores no inventário de suas organizações.
O bug, rastreado como CVE-2023-20060, foi encontrado na interface de gerenciamento baseada na web do Cisco PCD 14 e anterior pelo Pierre Vivegnis do NATO Cyber Security Centre (NCSC).
A exploração bem-sucedida permite que atacantes não autenticados lancem ataques de cross-site scripting remotamente, mas requer interação do usuário.
"Essa vulnerabilidade existe porque a interface de gerenciamento baseada na web não valida corretamente a entrada fornecida pelo usuário.
Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário da interface a clicar em um link criado", explica a Cisco.
"Uma exploração bem-sucedida poderia permitir que o invasor execute código de script arbitrário no contexto da interface afetada ou acesse informações sensíveis baseadas no navegador".
Embora a Cisco tenha compartilhado informações sobre o impacto da falha, a empresa lançará atualizações de segurança para resolvê-la em algum momento do próximo mês.
Por enquanto, não há soluções alternativas disponíveis para remover o vetor de ataque.
Felizmente, a equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) ainda não encontrou evidências de uso malicioso e não está ciente de código de exploração público direcionado à falha.
A Cisco também precisa corrigir outra vulnerabilidade zero-day de alta gravidade em IP Phone (
CVE-2022-20968
) com código de exploração publicamente disponível, divulgado no início de dezembro de 2023.
O PSIRT da Cisco alertou na época que "está ciente de que o código de exploração de prova de conceito está disponível" e que "a vulnerabilidade foi discutida publicamente".
Embora a empresa tenha prometido que as atualizações de segurança serão lançadas em janeiro de 2023, a falha permanece sem correção meses após a divulgação inicial.
Os dispositivos afetados pelo
CVE-2022-20968
incluem telefones IP da Cisco que executam o firmware da série 7800 e 8800 na versão 14.2 e anterior.
Embora a Cisco não tenha fornecido uma solução alternativa para essa vulnerabilidade zero-day do IP Phone, ela aconselhou os administradores a aplicarem medidas de mitigação temporárias, que exigem desativar o Protocolo de Descoberta da Cisco em dispositivos afetados que suportam o Link Layer Discovery Protocol (LLDP) como opção de fallback.
"Esta não é uma mudança trivial e exigirá diligência por parte da empresa para avaliar qualquer impacto potencial nos dispositivos, bem como a melhor abordagem para implantar essa mudança em sua empresa", alertou a empresa na época.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...