A Cisco több, az Expressway Series gateway-t érintő sebezhetőséget is javított. Ezek közül kettőt kritikus súlyosságúnak minősített, amelyek a sebezhető eszközöket CSRF (cross-site request forgery) támadásoknak teszi ki.
A támadók a CSRF sebezhetőségeket (CVE-2024-20252 és CVE-2024-20254) kihasználva rávehetik a hitelesített felhasználókat, hogy rosszindulatú linkekre kattintva vagy a támadó által ellenőrzött weboldalakat meglátogatva nem kívánt műveleteket hajtsanak végre (új felhasználói fiókokat adjanak hozzá, tetszőleges kódot hajtsanak végre, adminisztrátori jogosultságokat szerezzenek stb.).
“Egy támadó kihasználhatja ezeket a sebezhetőségeket azáltal, ha az API felhasználója rákattint egy szerkesztett linkre. A sikeres kihasználás lehetővé teheti a támadó számára, hogy tetszőleges műveleteket hajtson végre az érintett felhasználó jogosultsági szintjével, amely ha rendszergazdai jogosultságokkal rendelkezik, akkor képes lehet akár a rendszer konfigurációjának módosítására és új jogosultságú fiókok létrehozására.” – figyelmeztetett a Cisco.
Egy harmadik, CVE-2024-20255 néven nyomon követett CSRF biztonsági hiba a sebezhető rendszerek konfigurációjának módosítására és szolgáltatásmegtagadási feltételek kiváltására használható fel.
A CVE-2024-20254 és CVE-2024-20255 az alapértelmezett konfigurációval rendelkező Cisco Expressway sorozatú eszközöket érinti, míg a CVE-2024-20252 csak olyan gateway megtámadására használható, ahol a CDB API funkciót bekapcsolták.
A vállalat közlése szerint a három sebezhetőség kezelésére a Cisco TelePresence Video Communication Server gateway-hez nem ad ki biztonsági frissítéseket, mivel elérte a támogatás 2023. december 31-i lejárati dátumát.
A Cisco Product Security Incident Response Team (PSIRT) nem talált nyilvános PoC exploitot vagy kihasználási kísérletet, amely ezeket a sebezhetőségeket célozta volna.
