Cisco Soluciona Falhas no Controlador de Gerenciamento Integrado
22 de Abril de 2024

A Cisco disponibilizou patches para corrigir duas vulnerabilidades críticas de escalonamento de privilégios no seu Integrated Management Controller (IMC), componente crucial para o gerenciamento out-of-band de variados produtos e dispositivos de servidor da companhia.

Essas falhas poderiam permitir a executores não autorizados comandar o sistema operacional como root, sendo que uma dessas vulnerabilidades já teve código de exploração de conceito (proof of concept - PoC) divulgado ao público.

Identificadas como CVE-2024-20295 e CVE-2024-20356, essas vulnerabilidades receberam, na escala do sistema comum de pontuação de vulnerabilidades (CVSS), notas de 8.8 e 8.7, indicando alto grau de severidade.

A exploração dessas falhas é possível via rede se as interfaces do IMC estiverem acessíveis de maneira remota.

Contudo, não são consideradas críticas porque exigem que os atacantes sejam previamente autenticados e já possuam certos privilégios no sistema.

O IMC atua como um baseboard management controller (BMC), isto é, um processador dedicado presente em servidores que roda software especializado para permitir o monitoramento e gestão remota do hardware do sistema, inclusive com o sistema operacional principal inativo.

Frequentemente descritos como pequenos computadores dentro de outros maiores, os BMCs contam com CPU própria, memória, portas de rede e até um sistema operacional independente.

Os servidores Cisco Unified Computing System (UCS), além de dispositivos específicos da Cisco baseados nesses servidores, incorporam o IMC.

As vulnerabilidades impactam diferentes interfaces desse controlador.

A CVE-2024-20295 está presente na CLI do IMC e se origina da insuficiente validação de dados inseridos pelo usuário.

Um atacante com privilégios de leitura ou superiores em um dispositivo comprometido, ao acessar a CLI do IMC, pode executar comandos com privilégios de root.

Esta vulnerabilidade impacta os Cisco 5000 Series Enterprise Network Compute Systems (ENCS), Catalyst 8300 Series Edge uCPE, UCS C-Series Rack Servers em configuração standalone e o UCS E-Series Servers em configurações padrão.

Outros produtos baseados no UCS C-Series também estão vulneráveis se a CLI do IMC foi configurada para ser acessível – por padrão, o IMC não fica exposto nesses dispositivos.

O Product Security Incident Response Team (PSIRT) da Cisco está ciente do código PoC disponível publicamente para esta falha, mas até o momento não identificou explorações mal-intencionadas.

A segunda vulnerabilidade, CVE-2024-20356, localiza-se na interface de gerenciamento web do Cisco IMC e pode ser explorada por atacantes com privilégios de administrador, através de comandos cuidadosamente construídos.

Esta falha afeta os mesmos dispositivos impactados pela CVE-2024-20295, com adição dos servidores UCS C-Series M5, M6 e M7 Rack em configuração standalone, assim como os UCS S-Series Storage Servers.

Dispositivos UCS C-Series baseados podem igualmente ser afetados caso suas configurações padrão sejam alteradas para tornar a interface do usuário IMC acessível.

Muitas implementações de BMC por fabricantes de servidores contêm vulnerabilidades significativas.

Operadores de ameaças avançadas, incluindo grupos APT (Advanced Persistent Threats), criaram malwares especificamente direcionados a essas interfaces.

Para mais informações detalhadas sobre ambas as vulnerabilidades, é recomendável consultar os registros CVE-2024-20295 e CVE-2024-20356.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...