A Cisco está alertando sobre a tentativa de exploração de uma falha de segurança em seu software IOS e no software IOS XE que poderia permitir que um invasor remoto autenticado conseguisse a execução remota de código nos sistemas afetados.
A vulnerabilidade de gravidade média é rastreada como CVE-2023-20109 e tem uma pontuação CVSS de 6,6. Afeta todas as versões do software que possuem o protocolo GDOI ou G-IKEv2 habilitado.
A empresa disse que a falha “poderia permitir que um invasor remoto autenticado que tenha controle administrativo de um membro do grupo ou de um servidor chave execute código malicioso em um dispositivo afetado ou faça com que o dispositivo trave”.
Observou ainda que o problema é o resultado da validação insuficiente de atributos nos protocolos Group Domain of Interpretation (GDOI) e G-IKEv2 do recurso GET VPN e pode ser transformado em arma, comprometendo um servidor de chave instalado ou modificando a configuração de um membro do grupo aponte para um servidor chave que é controlado pelo invasor.
A vulnerabilidade foi descoberta após uma investigação interna e auditoria de código-fonte iniciada após uma “tentativa de exploração do recurso GET VPN”.
A revelação ocorre no momento em que a Cisco detalha um conjunto de cinco falhas no Catalyst SD-WAN Manager (versões 20.3 a 20.12) que podem permitir que um invasor acesse uma instância afetada ou cause uma condição de negação de serviço (DoS) em um sistema afetado.
CVE-2023-20252 (CVSS score: 9.8) - Unauthorized Access Vulnerability
CVE-2023-20253 (CVSS score: 8.4) - Unauthorized Configuration Rollback Vulnerability
CVE-2023-20034 (CVSS score: 7.5) - Information Disclosure Vulnerability
CVE-2023-20254 (CVSS score: 7.2) - Authorization Bypass Vulnerability
CVE-2023-20262 (CVSS score: 5.3) - Denial-of-Service Vulnerability
A exploração bem-sucedida pode permitir que o ofensor obtenha acesso não autorizado ao aplicativo como um usuário arbitrário, ignore a autorização e reverta as configurações do controlador, acesse o banco de dados Elasticsearch de um sistema afetado, acesse outro usuário gerenciado pela mesma instância e cause um incidente.
Recomenda-se que os clientes atualizem para uma versão de software para corrigir as vulnerabilidades.
Comments