A Cisco disponibilizou patches para corrigir duas vulnerabilidades críticas de escalonamento de privilégios no seu Integrated Management Controller (IMC), componente crucial para o gerenciamento out-of-band de variados produtos e dispositivos de servidor da companhia.
Essas falhas poderiam permitir a executores não autorizados comandar o sistema operacional como root, sendo que uma dessas vulnerabilidades já teve código de exploração de conceito (proof of concept - PoC) divulgado ao público.
Identificadas como CVE-2024-20295 e CVE-2024-20356, essas vulnerabilidades receberam, na escala do sistema comum de pontuação de vulnerabilidades (CVSS), notas de 8.8 e 8.7, indicando alto grau de severidade.
A exploração dessas falhas é possível via rede se as interfaces do IMC estiverem acessíveis de maneira remota.
Contudo, não são consideradas críticas porque exigem que os atacantes sejam previamente autenticados e já possuam certos privilégios no sistema.
O IMC atua como um baseboard management controller (BMC), isto é, um processador dedicado presente em servidores que roda software especializado para permitir o monitoramento e gestão remota do hardware do sistema, inclusive com o sistema operacional principal inativo.
Frequentemente descritos como pequenos computadores dentro de outros maiores, os BMCs contam com CPU própria, memória, portas de rede e até um sistema operacional independente.
Os servidores Cisco Unified Computing System (UCS), além de dispositivos específicos da Cisco baseados nesses servidores, incorporam o IMC.
As vulnerabilidades impactam diferentes interfaces desse controlador.
A CVE-2024-20295 está presente na CLI do IMC e se origina da insuficiente validação de dados inseridos pelo usuário.
Um atacante com privilégios de leitura ou superiores em um dispositivo comprometido, ao acessar a CLI do IMC, pode executar comandos com privilégios de root.
Esta vulnerabilidade impacta os Cisco 5000 Series Enterprise Network Compute Systems (ENCS), Catalyst 8300 Series Edge uCPE, UCS C-Series Rack Servers em configuração standalone e o UCS E-Series Servers em configurações padrão.
Outros produtos baseados no UCS C-Series também estão vulneráveis se a CLI do IMC foi configurada para ser acessível – por padrão, o IMC não fica exposto nesses dispositivos.
O Product Security Incident Response Team (PSIRT) da Cisco está ciente do código PoC disponível publicamente para esta falha, mas até o momento não identificou explorações mal-intencionadas.
A segunda vulnerabilidade, CVE-2024-20356, localiza-se na interface de gerenciamento web do Cisco IMC e pode ser explorada por atacantes com privilégios de administrador, através de comandos cuidadosamente construídos.
Esta falha afeta os mesmos dispositivos impactados pela CVE-2024-20295, com adição dos servidores UCS C-Series M5, M6 e M7 Rack em configuração standalone, assim como os UCS S-Series Storage Servers.
Dispositivos UCS C-Series baseados podem igualmente ser afetados caso suas configurações padrão sejam alteradas para tornar a interface do usuário IMC acessível.
Muitas implementações de BMC por fabricantes de servidores contêm vulnerabilidades significativas.
Operadores de ameaças avançadas, incluindo grupos APT (Advanced Persistent Threats), criaram malwares especificamente direcionados a essas interfaces.
Para mais informações detalhadas sobre ambas as vulnerabilidades, é recomendável consultar os registros CVE-2024-20295 e CVE-2024-20356.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...