A Cisco disponibilizou patches para corrigir duas vulnerabilidades críticas de escalonamento de privilégios no seu Integrated Management Controller (IMC), componente crucial para o gerenciamento out-of-band de variados produtos e dispositivos de servidor da companhia.
Essas falhas poderiam permitir a executores não autorizados comandar o sistema operacional como root, sendo que uma dessas vulnerabilidades já teve código de exploração de conceito (proof of concept - PoC) divulgado ao público.
Identificadas como CVE-2024-20295 e CVE-2024-20356, essas vulnerabilidades receberam, na escala do sistema comum de pontuação de vulnerabilidades (CVSS), notas de 8.8 e 8.7, indicando alto grau de severidade.
A exploração dessas falhas é possível via rede se as interfaces do IMC estiverem acessíveis de maneira remota.
Contudo, não são consideradas críticas porque exigem que os atacantes sejam previamente autenticados e já possuam certos privilégios no sistema.
O IMC atua como um baseboard management controller (BMC), isto é, um processador dedicado presente em servidores que roda software especializado para permitir o monitoramento e gestão remota do hardware do sistema, inclusive com o sistema operacional principal inativo.
Frequentemente descritos como pequenos computadores dentro de outros maiores, os BMCs contam com CPU própria, memória, portas de rede e até um sistema operacional independente.
Os servidores Cisco Unified Computing System (UCS), além de dispositivos específicos da Cisco baseados nesses servidores, incorporam o IMC.
As vulnerabilidades impactam diferentes interfaces desse controlador.
A CVE-2024-20295 está presente na CLI do IMC e se origina da insuficiente validação de dados inseridos pelo usuário.
Um atacante com privilégios de leitura ou superiores em um dispositivo comprometido, ao acessar a CLI do IMC, pode executar comandos com privilégios de root.
Esta vulnerabilidade impacta os Cisco 5000 Series Enterprise Network Compute Systems (ENCS), Catalyst 8300 Series Edge uCPE, UCS C-Series Rack Servers em configuração standalone e o UCS E-Series Servers em configurações padrão.
Outros produtos baseados no UCS C-Series também estão vulneráveis se a CLI do IMC foi configurada para ser acessível – por padrão, o IMC não fica exposto nesses dispositivos.
O Product Security Incident Response Team (PSIRT) da Cisco está ciente do código PoC disponível publicamente para esta falha, mas até o momento não identificou explorações mal-intencionadas.
A segunda vulnerabilidade, CVE-2024-20356, localiza-se na interface de gerenciamento web do Cisco IMC e pode ser explorada por atacantes com privilégios de administrador, através de comandos cuidadosamente construídos.
Esta falha afeta os mesmos dispositivos impactados pela CVE-2024-20295, com adição dos servidores UCS C-Series M5, M6 e M7 Rack em configuração standalone, assim como os UCS S-Series Storage Servers.
Dispositivos UCS C-Series baseados podem igualmente ser afetados caso suas configurações padrão sejam alteradas para tornar a interface do usuário IMC acessível.
Muitas implementações de BMC por fabricantes de servidores contêm vulnerabilidades significativas.
Operadores de ameaças avançadas, incluindo grupos APT (Advanced Persistent Threats), criaram malwares especificamente direcionados a essas interfaces.
Para mais informações detalhadas sobre ambas as vulnerabilidades, é recomendável consultar os registros CVE-2024-20295 e CVE-2024-20356.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...