Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Cisco risolve un bug da score 10 su Wireless LAN Controller (WLC).

Cisco risolve un bug da score 10 su Wireless LAN Controller (WLC).

15 Aprile 2022 09:57

Cisco ha rilasciato correzioni per una vulnerabilità critica nel Wireless LAN Controller (WLC) che potrebbe consentire a un utente malintenzionato non autorizzato di assumere il controllo di un sistema interessato da remoto.

La vulnerabilità CVE-2022-20695 ha ricevuto il massimo di 10 punti su 10 nella scala di valutazione della gravità. Con il suo aiuto, un utente malintenzionato potrebbe bypassare il meccanismo di autenticazione e accedere al dispositivo tramite l’interfaccia di gestione WLC.

La vulnerabilità esiste a causa di un’implementazione errata dell’algoritmo di autenticazione della password. 

Advertising

Un utente malintenzionato potrebbe sfruttarlo autorizzando il dispositivo interessato utilizzando credenziali di sua invenzione e ottenere privilegi di amministratore per ulteriori azioni dannose, in particolare per prendere il controllo dell’intero sistema.

Il problema riguarda solo i prodotti con Cisco WLC Software Release 8.10.151.0 e Release 8.10.162.0 che hanno la modalità di compatibilità RADIUS nel filtro MAC impostata su “Personalizzata”:

  • Controller wireless 3504;
  • Controller wireless 5520;
  • Controller wireless 8540;
  • Mobility Express;
  • Controller wireless virtuale (vWLC).

Si consiglia vivamente agli utenti di eseguire l’aggiornamento alla versione WLC 8.10.171.0, in cui la vulnerabilità è stata corretta. 

Cisco Wireless LAN Controller versione 8.9 e precedenti e versione 8.10.142.0 e precedenti non sono interessati.

Il problema è stato scoperto da un ricercatore di sicurezza presso Bisok. Non è stata trovata alcuna prova del suo sfruttamento in veri e propri attacchi attivi.

Advertising

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Agostino Pellegrino 300x300
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks