Novas vulnerabilidades de alta gravidade descobertas nos produtos Cisco IOx e F5 BIG-IP

O problema está enraizado na interface iControl Simple Object Access Protocol ( SOAP ) e afeta as seguintes versões do BIG-IP –

• 13.1.5
• 14.1.4.6 – 14.1.5
• 15.1.5.1 – 15.1.8
• 16.1.2.2 – 16.1.3, e
• 17.0.0

“Existe uma vulnerabilidade de string de formato no iControl SOAP que permite que um invasor autenticado trave o processo iControl SOAP CGI ou, potencialmente, execute código arbitrário”, disse a empresa em um comunicado. “No modo de dispositivo BIG-IP, uma exploração bem-sucedida dessa vulnerabilidade pode permitir que o invasor ultrapasse um limite de segurança”.

Rastreado como CVE-2023-22374 (pontuação CVSS: 7,5/8,5), o pesquisador de segurança Ron Bowes, da Rapid7, foi creditado por descobrir e relatar a falha em 6 de dezembro de 2022.

Dado que a interface iCOntrol SOAP é executada como root, uma exploração bem-sucedida pode permitir que um agente de ameaça acione remotamente a execução de código no dispositivo como usuário root. Isso pode ser obtido inserindo caracteres de string de formato arbitrário em um parâmetro de consulta que é passado para uma função de registro chamada syslog, disse Bowes.

A F5 observou que resolveu o problema em um hotfix de engenharia disponível para versões com suporte do BIG-IP. Como solução alternativa, a empresa está recomendando que os usuários restrinjam o acesso à API iControl SOAP apenas a usuários confiáveis.

Cisco corrige bug de injeção de comando no Cisco IOx #

A divulgação ocorre quando a Cisco lançou atualizações para corrigir uma falha no ambiente de hospedagem de aplicativos Cisco IOx (CVE-2023-20076, pontuação CVSS: 7,2) que poderia abrir a porta para um invasor remoto autenticado executar comandos arbitrários como root no host subjacente sistema operacional.

A vulnerabilidade afeta os dispositivos que executam o software Cisco IOS XE e têm o recurso Cisco IOx ativado, bem como 800 Series Industrial ISRs, Catalyst Access Points, CGR1000 Compute Modules, IC3000 Industrial Compute Gateways, IR510 WPAN Industrial Routers.

A empresa de segurança cibernética Trellix, que identificou o problema, disse que poderia ser armada para injetar pacotes maliciosos de uma maneira que pode persistir em reinicializações do sistema e atualizações de firmware, deixando o que só pode ser removido após uma redefinição de fábrica.

“Um malfeitor pode usar o CVE-2023-20076 para adulterar de forma maliciosa um dos dispositivos Cisco afetados em qualquer lugar desta cadeia de suprimentos”, afirmou, alertando sobre as possíveis ameaças à cadeia de suprimentos. “O nível de acesso que o CVE-2023-20076 fornece pode permitir que backdoors sejam instalados e ocultos, tornando a adulteração totalmente transparente para o usuário final”.

Embora a exploração exija que o invasor seja autenticado e tenha privilégios de administrador, vale a pena observar que os adversários podem encontrar várias maneiras de aumentar os privilégios, como phishing ou apostando na possibilidade de os usuários não terem alterado as credenciais padrão.

Também foi descoberto pelo Trellix um desvio de verificação de segurança durante a extração do arquivo TAR, que pode permitir que um invasor grave no sistema operacional do host subjacente como o usuário root.

O principal equipamento de rede, que corrigiu o defeito desde então, disse que a vulnerabilidade não representa nenhum risco imediato, pois “o código foi colocado lá para suporte futuro ao empacotamento de aplicativos”.