2019-6-16
Na interface web do IOS XE para switches e routers, a Cisco identificou um bug aberto a ataques remotos por via de anúncios fraudulentos
A Cisco corrigiu um bug de alta gravidade no seu software IOS XE, que deixava qualquer pessoa entrar em redes internas sem password. O bug, chamado CVE-2019-1904, pode ser explorado via remota, através de um ataque de falsificação ‘cross-site’ (CSRF) em sistemas afetados. O IOS XE da Cisco é usado em inúmeros routers e switches Cisco Catalyst. O bug não afeta IOS, IOS XR, ou variantes NX-OS. Num cenário de ataque, um exploit CSRF pode ser escondido em anúncios maliciosos, permitindo que um invasor entre nos sistemas da vítima e segmente redes ou administradores internos sem ativar nenhum alarme. Um invasor que explora com êxito a falha pode executar qualquer ação que desejar com o mesmo nível de privilégio do utilizador afetado. A Cisco avisa que “se o utilizador tiver privilégios administrativos, o atacante pode mudar a configuração, botões de execução, ou recarregar um dispositivo afetado”. A única forma de combater este problema é instalando software da Cisco, disponível para os clientes da empresa com uma licença válida. |