A Cisco alertou os clientes na quarta-feira para corrigirem uma vulnerabilidade de dia zero no software IOS e IOS XE, que tem sido alvo de ataques.
Descoberta por X. B. do Grupo de Iniciativas de Segurança Avançada da Cisco (ASIG), essa falha de segurança de gravidade média (CVE-2023-20109) resulta de uma validação inadequada de atributos dentro dos protocolos Grupo de Domínio de Interpretação (GDOI) e G-IKEv2 da funcionalidade GET VPN.
Felizmente, os requisitos para a exploração bem-sucedida exigem que os potenciais atacantes tenham controle administrativo sobre um servidor de chaves ou um membro do grupo. Isso implica que os atacantes já infiltraram o ambiente, uma vez que toda a comunicação entre o servidor de chaves e os membros do grupo é criptografada e autenticada.
“Um invasor pode explorar essa vulnerabilidade comprometendo um servidor de chaves instalado ou modificando a configuração de um membro do grupo para apontar para um servidor de chaves controlado pelo invasor”, explicou a Cisco em um aviso de segurança publicado na quarta-feira.
“Uma exploração bem-sucedida poderia permitir que o invasor execute código arbitrário e ganhe controle total do sistema afetado ou faça com que o sistema afetado seja reiniciado, resultando em uma condição de negação de serviço (DoS).”
O bug de dia zero afeta todos os produtos Cisco que executam uma versão vulnerável do software IOS ou IOS XE com o protocolo GDOI ou G-IKEv2 ativado.
Os produtos Meraki e aqueles que executam o software IOS XR e NX-OS não estão expostos a ataques usando exploits CVE-2023-20109.
Exploração em ambiente real (ou “em estado selvagem”)
Apesar do amplo acesso ao ambiente-alvo necessário para explorar com sucesso essa vulnerabilidade, a empresa revelou no mesmo aviso que atores de ameaças já começaram a visá-la em ataques.
“A Cisco descobriu tentativas de exploração da funcionalidade GET VPN e realizou uma revisão técnica de código dessa funcionalidade. Essa vulnerabilidade foi descoberta durante a nossa investigação interna”, lê-se no aviso.
“A Cisco continua a recomendar enfaticamente que os clientes atualizem para uma versão de software corrigida para remediar essa vulnerabilidade.”
Na quarta-feira, a Cisco também emitiu patches de segurança para uma vulnerabilidade crítica nas APIs de Linguagem de Marcação de Afirmação de Segurança (SAML) do software de gestão de rede Catalyst SD-WAN Manager.
A exploração bem-sucedida permitiria a atacantes não autenticados ganhar acesso não autorizado remoto à aplicação como um utilizador arbitrário.
