A Cisco corrigiu várias vulnerabilidades que afetam seus gateways de colaboração da série Expressway, duas delas classificadas como de severidade crítica e expondo dispositivos vulneráveis a ataques de cross-site request forgery (CSRF).
Os invasores podem explorar as vulnerabilidades CSRF para enganar usuários autenticados a clicarem em links maliciosos ou visitarem páginas da web controladas pelo invasor para realizar ações indesejadas, como adicionar novas contas de usuário, executar códigos arbitrários, obter privilégios de administrador e mais.
Invasores não autenticados podem explorar as duas vulnerabilidades críticas CSRF corrigidas hoje (
CVE-2024-20252
e
CVE-2024-20254
) para atacar gateways Expressway não corrigidos remotamente.
"Um invasor poderia explorar essas vulnerabilidades persuadindo um usuário da API a seguir um link criado.
Um exploit bem-sucedido poderia permitir que o invasor realizasse ações arbitrárias com o nível de privilégio do usuário afetado", alertou a Cisco.
"Se o usuário afetado tiver privilégios administrativos, essas ações podem incluir a modificação da configuração do sistema e a criação de novas contas privilegiadas."
Um terceiro bug de segurança CSRF rastreado como
CVE-2024-20255
também pode ser usado para alterar a configuração de sistemas vulneráveis e deflagrar condições de negação de serviço.
CVE-2024-20254
e
CVE-2024-20255
impactam os dispositivos da série Cisco Expressway com configurações padrão, enquanto
CVE-2024-20252
só pode ser explorado para atacar gateways onde o recurso da API do banco de dados de cluster (CDB) foi ativado.
A empresa diz que não irá liberar atualizações de segurança para o gateway Cisco TelePresence Video Communication Server (VCS) para corrigir as três vulnerabilidades, já que ele atingiu a data de fim de suporte em 31 de dezembro de 2023.
A equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) não encontrou evidências públicas de exploração dessas vulnerabilidades.
No mês passado, a Cisco alertou sobre uma grave falha de execução remota de código afetando seus produtos Unified Communications Manager (CM) e Contact Center Solutions, após corrigir um grave bug do Unity Connection que poderia permitir que invasores não autenticados obtivessem privilégios de root remotamente.
Em outubro, a Cisco também lançou patches de segurança para dois zero-days que foram usados para comprometer mais de 50.000 dispositivos IOS XE em uma semana.
Os hackers exploraram um segundo IOS e IOS XE zero-day no último ano em ataques, um bug que lhes permitiu executar código arbitrário, obter controle completo de sistemas vulneráveis e acionar condições de negação de serviço (DoS).
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...