0
0
A Cisco publicou um aviso para administradores das soluções Cisco Identity Services Engine, sobre duas vulnerabilidades (CVE-2022-20822, CVE-2022-20959) que podem ser exploradas para ler e excluir arquivos em um dispositivo afetado e executar script ou acessar informações confidenciais.
“O Cisco PSIRT está ciente de que o código de exploração de prova de conceito para a vulnerabilidade descrita neste comunicado ficará disponível após o lançamento das correções de software. Relatórios públicos da vulnerabilidade, incluindo uma descrição e classificação sem detalhes técnicos específicos, estarão disponíveis após a publicação deste comunicado”, disse a empresa.
Ambas as vulnerabilidades foram descobertas e relatadas por Davide Virruso, um caçador de bugs freelance e um operador de equipe vermelha no provedor de serviços de segurança gerenciado Yoroi.
Sobre as falhas (CVE-2022-20822, CVE-2022-20959)
O Cisco Identity Services é uma plataforma de gerenciamento de políticas e controle de acesso para dispositivos em redes e é um elemento crucial da arquitetura de confiança zero de uma organização.
“O ISE, portanto, não apenas garante acesso definido por software e automatiza a segmentação de rede em ambientes de TI e OT, mas também fornece um meio de visibilidade do ‘estado’ da rede”, observou a equipe de consultoria da Yoroi .
CVE-2022-20822 é uma vulnerabilidade de passagem de caminho na interface de gerenciamento baseada na Web do Cisco ISE que pode ser explorada por um invasor remoto autenticado.
“Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP criada que contém determinadas sequências de caracteres para um sistema afetado. Uma exploração bem-sucedida pode permitir que o invasor leia ou exclua arquivos específicos no dispositivo aos quais seu nível administrativo configurado não deve ter acesso”, diz a Cisco.
CVE-2022-20959 é uma vulnerabilidade de cross-site scripting (XSS) na API External RESTful Services (ERS) do Cisco ISE.
“Um invasor pode explorar essa vulnerabilidade persuadindo um administrador autenticado da interface de gerenciamento baseada na Web a clicar em um link malicioso. Uma exploração bem-sucedida pode permitir que o invasor execute código de script arbitrário no contexto da interface afetada ou acesse informações confidenciais baseadas em navegador.”
Não há soluções alternativas disponíveis para as duas falhas. E, embora haja atualmente uma correção para CVE-2022-20959 (para uma versão específica do ISE e nível de patch), outras correções estão programadas para serem lançadas nos próximos meses – algumas até em janeiro de 2023.
Mas há hot patches disponíveis mediante solicitação, e a Cisco está oferecendo-os aos interessados depois que eles entrarem em contato com o Centro de Assistência Técnica (TAC) da Cisco.
Os socorristas de incidentes da empresa não estão cientes das instâncias em que essas vulnerabilidades são exploradas.
FONTE: DARK READING