Uma vulnerabilidade que afeta os sistemas operacionais da Cisco pode permitir que invasores assumam o controle total dos dispositivos afetados, executem códigos arbitrários e causem recargas que acionam condições de negação de serviço (DoS). E pelo menos uma tentativa de exploração já ocorreu na natureza.
Em 27 de setembro, a Cisco lançou sua mais recente publicação semestral de pacote consultivo de segurança . A publicação detalhou oito vulnerabilidades que afetam seus sistemas operacionais IOS e IOS XE, entre elas CVE-2023-20109 , um problema de gravação fora dos limites que obteve uma pontuação de gravidade “Média” de 6,6. De acordo com o comunicado de segurança da Cisco , o CVE-2023-20109 já foi objeto de pelo menos uma tentativa de exploração em estado selvagem.
Em declaração à Dark Reading, um porta-voz da Cisco reconheceu as vulnerabilidades. “A Cisco lançou atualizações de software para resolver essas vulnerabilidades. Consulte o comunicado de segurança específico para obter detalhes adicionais”, escreveu o porta-voz.
Para Tim Silverline, vice-presidente de segurança da Gluware, esta vulnerabilidade não deve ser ignorada, mas também não é motivo para pânico.
“As organizações devem implementar as estratégias de mitigação propostas pela Cisco, mas o perigo aqui não é substancial. Se o malfeitor tiver acesso total ao ambiente alvo, então você já está comprometido e esta é apenas uma maneira pela qual eles poderiam explorar essas permissões para mover-se lateralmente e aumentar os privilégios”, diz ele.
A falha na VPN da Cisco
CVE-2023-20109 afeta o recurso VPN da Cisco, Group Encrypted Transport VPN (GET VPN). GET VPN funciona em ambientes unicast ou multicast estabelecendo um conjunto rotativo de chaves de criptografia, compartilhadas dentro de um grupo, onde qualquer membro do grupo pode criptografar ou descriptografar dados sem a necessidade de uma conexão direta ponto a ponto.
Caso um invasor já tenha se infiltrado em um ambiente de rede privada desse tipo, ele poderá explorá-lo de duas maneiras. Eles podem comprometer o servidor de chaves e alterar os pacotes enviados aos membros do grupo, ou podem construir e instalar seu próprio servidor de chaves e reconfigurar os membros do grupo para se comunicarem com ele em vez do verdadeiro servidor de chaves.
Um dia ruim para Cisco
No mesmo dia da publicação semestral de segurança, as autoridades dos EUA e do Japão emitiram um alerta conjunto sobre uma APT estatal chinesa reescrevendo o firmware da Cisco em ataques contra grandes organizações multinacionais.
“Isto não é indicativo de qualquer nova tendência”, afirma Silverline, para aqueles de nós mais inclinados a coincidências ou conspirações. Como qualquer grande fornecedor, a Cisco sempre terá novas vulnerabilidades, “acontece que tivemos dois eventos em poucos dias”.
Mas esta é uma continuação das tendências cibernéticas observadas nos últimos anos, acrescenta Silverline . “Os ataques estão se tornando mais avançados e estão sendo capitalizados rapidamente”, diz ele. As tecnologias de borda, em particular, são o ponto de partida ideal para um invasor , expondo redes corporativas à Web mais ampla, embora às vezes não possuam as proteções de segurança robustas de seus servidores equivalentes.
Silverline sugere diversas maneiras pelas quais as organizações podem resolver problemas comuns. “Como prática recomendada, os dispositivos de rede nunca devem enviar comunicações de saída. Uma vez descoberto, os recursos de automação de rede podem garantir que as configurações sejam verificadas e implementadas em toda a rede para evitar que agentes mal-intencionados executem o ataque”, diz ele. “Da mesma forma, os recursos de auditoria podem alertar as equipes de rede quando qualquer alteração ou violação de políticas ocorre em seus dispositivos de rede, para que possam reverter rapidamente o dispositivo para a configuração anterior.”
FONTE: DARKREADING