Két kritikus hibát javított a Cisco az Expressway gateway-ekben

A Cisco több, az Expressway Series gateway-t érintő sebezhetőséget is javított. Ezek közül kettőt kritikus súlyosságúnak minősített, amelyek a sebezhető eszközöket CSRF (cross-site request forgery) támadásoknak teszi ki.

A támadók a CSRF sebezhetőségeket (CVE-2024-20252 és CVE-2024-20254) kihasználva rávehetik a hitelesített felhasználókat, hogy rosszindulatú linkekre kattintva vagy a támadó által ellenőrzött weboldalakat meglátogatva nem kívánt műveleteket hajtsanak végre (új felhasználói fiókokat adjanak hozzá, tetszőleges kódot hajtsanak végre, adminisztrátori jogosultságokat szerezzenek stb.).

“Egy támadó kihasználhatja ezeket a sebezhetőségeket azáltal, ha az API felhasználója rákattint egy szerkesztett linkre. A sikeres kihasználás lehetővé teheti a támadó számára, hogy tetszőleges műveleteket hajtson végre az érintett felhasználó jogosultsági szintjével, amely ha rendszergazdai jogosultságokkal rendelkezik, akkor képes lehet akár a rendszer konfigurációjának módosítására és új jogosultságú fiókok létrehozására.” – figyelmeztetett a Cisco.

Egy harmadik, CVE-2024-20255 néven nyomon követett CSRF biztonsági hiba a sebezhető rendszerek konfigurációjának módosítására és szolgáltatásmegtagadási feltételek kiváltására használható fel.

A CVE-2024-20254 és CVE-2024-20255 az alapértelmezett konfigurációval rendelkező Cisco Expressway sorozatú eszközöket érinti, míg a CVE-2024-20252 csak olyan gateway megtámadására használható, ahol a CDB API funkciót bekapcsolták.

A vállalat közlése szerint a három sebezhetőség kezelésére a Cisco TelePresence Video Communication Server gateway-hez nem ad ki biztonsági frissítéseket, mivel elérte a támogatás 2023. december 31-i lejárati dátumát.

A Cisco Product Security Incident Response Team (PSIRT) nem talált nyilvános PoC exploitot vagy kihasználási kísérletet, amely ezeket a sebezhetőségeket célozta volna.

(bleepingcomputer.com)