Un bug critico su Cisco gateway Expressway espone i sistemi ad attacchi CSRF

Cisco ha corretto diverse vulnerabilità che interessano i suoi gateway della serie Expressway. Si tratta di 3 bug, due classificati come critici che espongono i dispositivi vulnerabili ad attacchi CSRF (cross-site request forgery). Il Product Security Incident Response Team (PSIRT) di Cisco per il momento non ha trovato exploit pubblici o tentativi di sfruttamento mirati.

“Un utente malintenzionato potrebbe sfruttare queste vulnerabilità convincendo un utente dell’API a utilizzare un collegamento creato appositamente. Un exploit riuscito potrebbe consentire all’utente malintenzionato di eseguire azioni arbitrarie con il livello di privilegio dell’utente interessato”, ha avvertito Cisco in un avviso.

Gli aggressori possono quindi sfruttare le vulnerabilità CSRF “per indurre gli utenti autenticati a fare clic su collegamenti dannosi o a visitare pagine Web controllato dagli aggressori. In questo modo possono eseguire azioni indesiderate come l’aggiunta di nuovi account utente, l’esecuzione di codice arbitrario, l’acquisizione di privilegi di amministratore e altro ancora.

Le due vulnerabilità CSRF critiche patchate oggi sono le CVE-2024-20252 e CVE-2024-20254 le quali affliggono i gateway Expressway senza patch. “Se l’utente interessato dispone di privilegi amministrativi, queste azioni potrebbero includere la modifica della configurazione del sistema e la creazione di nuovi account privilegiati.”

Un terzo bug di sicurezza CSRF tracciato come CVE-2024-20255 può essere utilizzato anche per alterare la configurazione dei sistemi vulnerabili. Mentre i CVE-2024-20254 e CVE-2024-20255 influiscono sui dispositivi della serie Cisco Expressway, il CVE-2024-20252 può essere sfruttato solo per attaccare gateway in cui è stata attivata la funzionalità API del database cluster (CDB).

La società afferma che non rilascerà aggiornamenti di sicurezza per il gateway Cisco TelePresence Video Communication Server (VCS). Questo poichè ha raggiunto la data di fine del supporto il 31 dicembre 2023.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks