0
0
A Cisco lançou patches para uma vulnerabilidade de alta gravidade (CVE-2023-20076) encontrada em alguns de seus roteadores industriais, gateways e pontos de acesso sem fio corporativos, que podem permitir que invasores insiram códigos maliciosos que não podem ser excluídos simplesmente reiniciando o dispositivo ou atualizando seu firmware.
“Nesse caso, a injeção de comando ignora as mitigações que a Cisco implementou para garantir que as vulnerabilidades não persistam em um sistema. Ignorar essa medida de segurança significa que, se um invasor explorar essa vulnerabilidade, o pacote malicioso continuará em execução até que o dispositivo seja redefinido para as configurações de fábrica ou até que seja excluído manualmente”, de acordo com os pesquisadores de vulnerabilidades da Trellix, Sam Quinn e Kasimir Schulz.
Embora os invasores devam primeiro obter acesso administrativo autenticado a um dispositivo vulnerável para explorá-lo, ataques de phishing bem-sucedidos, credenciais de login padrão e erros de escalonamento de privilégios não são ocorrências tão raras quanto se deseja e podem abrir caminho para a exploração CVE-2023-20076.
Sobre CVE-2023-20076
O CVE-2023-20076 foi descoberto pelos pesquisadores em um roteador Cisco ISR 4431 – mais especificamente, no ambiente de hospedagem de aplicativos Cisco IOx, que permite aos administradores implantar contêineres de aplicativos ou máquinas virtuais diretamente em dispositivos Cisco.
“Essa vulnerabilidade se deve à sanitização incompleta dos parâmetros que são passados para a ativação de um aplicativo. Um invasor pode explorar essa vulnerabilidade implantando e ativando um aplicativo no ambiente de hospedagem do aplicativo Cisco IOx com um arquivo de carga útil de ativação criado. Uma exploração bem-sucedida pode permitir que o invasor execute comandos arbitrários como root no sistema operacional do host subjacente”, explica a Cisco .
A vulnerabilidade também foi confirmada para afetar outras soluções da Cisco:
- ISRs industriais da série 800 (roteadores industriais)
- IC3000 Industrial Compute Gateways (para processamento de dados em tempo real, análise e automação para ambientes industriais)
- Dispositivos baseados em IOS XE configurados com IOx (ou seja, roteadores capazes de executar aplicativos de terceiros dentro de um ambiente em contêiner
- Pontos de acesso Cisco Catalyst (ponto de acesso sem fio para ambientes corporativos com um grande número de dispositivos conectados)
- IR510 WPAN Industrial Routers (roteadores sem fio fábricas inteligentes e redes inteligentes)
- Módulos de computação CGR1000 (para serviços em nuvem corporativos)
Não há soluções alternativas disponíveis. Patches/atualizações de segurança para todos, exceto os dois últimos dispositivos listados, foram fornecidos, e a Cisco entregará o restante ainda este mês.
“Os clientes que não desejam usar o ambiente de hospedagem de aplicativos Cisco IOx podem desativar o IOx permanentemente no dispositivo usando o comando no iox configuration”, observou a empresa, após confirmar que a vulnerabilidade está presente apenas se o recurso Cisco IOx estiver ativado.
O fato de que o CVE-2023-20076 pode permitir que invasores acionem comandos maliciosos é um problema, mas um sem dúvida maior é que ele ignora as mitigações implementadas pela Cisco para garantir que as vulnerabilidades não persistam em um sistema, observaram os pesquisadores.
“Com as complexidades da rede corporativa, muitas empresas terceirizam a configuração e o projeto de rede para instaladores terceirizados. Um agente mal-intencionado pode usar o CVE-2023-20076 para adulterar de forma maliciosa um dos dispositivos Cisco afetados em qualquer ponto da cadeia de suprimentos. O nível de acesso fornecido pelo CVE-2023-20076 pode permitir a instalação e ocultação de backdoors, tornando a adulteração totalmente transparente para o usuário final”, explicaram, e aconselharam os consumidores de dispositivos de borda “a monitorar de perto sua cadeia de suprimentos e garantir que quaisquer revendedores, parceiros ou provedores de serviços gerenciados tenham protocolos de segurança transparentes.”
FONTE: HELPNET SECURITY