Η Cisco αποκάλυψε σήμερα μια ευπάθεια zero-day στο λογισμικό Prime Collaboration Deployment (PCD) της εταιρείας που μπορεί να αξιοποιηθεί για επιθέσεις cross-site scripting.
Αυτό το server management utility επιτρέπει στους διαχειριστές να εκτελούν εργασίες μετεγκατάστασης ή αναβάθμισης σε servers στο inventory του οργανισμού τους.
Το σφάλμα CVE-2023-20060 εντοπίστηκε στο management interface που βασίζεται στο web του Cisco PCD 14 και παλαιότερα από τον Pierre Vivegnis του Κέντρου Κυβερνοασφάλειας του NATO (NCSC).
Το επιτυχές exploitation επιτρέπει στους εισβολείς χωρίς έλεγχο ταυτότητας να εξαπολύουν επιθέσεις cross-site scripting από απόσταση, αλλά απαιτεί αλληλεπίδραση με τον χρήστη.
“Αυτή η ευπάθεια υπάρχει επειδή το web-based management interface δεν επικυρώνει σωστά το input που παρέχεται από τον χρήστη. Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια πείθοντας έναν χρήστη του interface να κάνει κλικ σε έναν επεξεργασμένο σύνδεσμο“, εξηγεί η Cisco.
“Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να εκτελέσει αυθαίρετο κώδικα script στο πλαίσιο της επηρεαζόμενης διεπαφής ή να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες που βασίζονται σε πρόγραμμα περιήγησης.”
Ενώ η Cisco μοιράστηκε πληροφορίες σχετικά με τον αντίκτυπο του ελαττώματος, η εταιρεία θα κυκλοφορήσει ενημερώσεις ασφαλείας για να το αντιμετωπίσει κάποια στιγμή τον επόμενο μήνα. Προς το παρόν, δεν υπάρχουν διαθέσιμες λύσεις για την κατάργηση του attack vector.
Ευτυχώς, η Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας Προϊόντων της Cisco (PSIRT) δεν έχει βρει ακόμη στοιχεία για κακόβουλη χρήση από τους χάκερ και δεν γνωρίζει τον δημόσιο exploit code που στοχεύει το σφάλμα.
Το zero-day αποκαλύφθηκε τον Δεκέμβριο ακόμα περιμένοντας ένα patch
Η Cisco πρέπει επίσης να επιδιορθώσει ένα άλλο IP Phone zero-day υψηλής σοβαρότητας (CVE-2022-20968) με δημόσια διαθέσιμο exploit code, που αποκαλύφθηκε στις αρχές Δεκεμβρίου 2023.
Το PSIRT της Cisco προειδοποίησε τότε ότι “γνωρίζει ότι ο proof-of-concept exploit κώδικας είναι διαθέσιμος” και ότι “η ευπάθεια έχει συζητηθεί δημόσια”.
Ενώ η εταιρεία υποσχέθηκε ότι οι ενημερώσεις ασφαλείας θα κυκλοφορούσαν τον Ιανουάριο του 2023, το σφάλμα παραμένει χωρίς επιδιόρθωση μήνες μετά την αρχική αποκάλυψη.
Οι συσκευές που επηρεάζονται από το CVE-2022-20968 περιλαμβάνουν τηλέφωνα IP Cisco με έκδοση firmware 7800 και 8800 Series 14.2 και παλαιότερη.
Παρόλο που η Cisco δεν παρείχε λύση για αυτό το IP Phone zero-day, συμβούλεψε τους διαχειριστές να εφαρμόσουν προσωρινά μέτρα μετριασμού, τα οποία απαιτούν την απενεργοποίηση του Discovery Protocol της Cisco στις επηρεαζόμενες συσκευές που υποστηρίζουν το Link Layer Discovery Protocol (LLDP) ως εναλλακτική επιλογή.
Πηγή πληροφοριών: bleepingcomputer.com
 της εταιρείας που μπορεί να αξιοποιηθεί...){kind=link}