Cisco a corrigé plusieurs vulnérabilités affectant ses passerelles de collaboration de la série Expressway, deux d’entre elles étant classées comme de gravité critique et exposant les périphériques vulnérables aux attaques CSRF (cross-site request forgery).
Les attaquants peuvent exploiter les vulnérabilités CSRF pour inciter les utilisateurs authentifiés à cliquer sur des liens malveillants ou à visiter des pages Web contrôlées par des attaquants pour effectuer des actions indésirables telles que l’ajout de nouveaux comptes d’utilisateurs, l’exécution de code arbitraire, l’obtention de privilèges d’administrateur, etc.
Les attaquants non authentifiés peuvent exploiter les deux vulnérabilités critiques CSRF corrigées aujourd’hui (CVE-2024-20252 et CVE-2024-20254) pour cibler à distance les passerelles Expressway non corrigées.
« Un attaquant pourrait exploiter ces vulnérabilités en persuadant un utilisateur de l’API de suivre un lien contrefait. Un exploit réussi pourrait permettre à l’attaquant d’effectuer des actions arbitraires avec le niveau de privilège de l’utilisateur affecté », a averti Cisco.
« Si l’utilisateur affecté dispose de privilèges administratifs, ces actions peuvent inclure la modification de la configuration du système et la création de nouveaux comptes privilégiés. »
Un troisième bogue de sécurité CSRF suivi comme CVE-2024-20255 peut également être utilisé pour modifier la configuration des systèmes vulnérables et déclencher des conditions de déni de service.
CVE-2024-20254 et CVE-2024-20255 affectent les périphériques de la gamme Cisco Expressway avec des configurations par défaut, tandis que CVE-2024-20252 ne peut être exploité que pour attaquer les passerelles où la fonctionnalité d’API de base de données de cluster (CDB) a été activée.
La société a déclaré qu’elle ne publierait pas de mises à jour de sécurité pour la passerelle Cisco TelePresence Video Communication Server (VCS) afin de remédier aux trois vulnérabilités car elle a atteint la date de fin de support le 31 décembre 2023.
L’Équipe de réponse aux incidents de sécurité des produits (PSIRT) de Cisco n’a trouvé aucune preuve d’exploits publics de validation de principe ou de tentatives d’exploitation ciblant ces vulnérabilités.
Le mois dernier, Cisco a mis en garde contre une faille d’exécution de code à distance de gravité critique affectant ses produits Unified Communications Manager (CM) et Contact Center Solutions après avoir corrigé un grave bogue de connexion Unity qui pourrait permettre à des attaquants non authentifiés d’obtenir des privilèges root à distance.
En octobre, Cisco a également publié des correctifs de sécurité pour deux jours zéro qui ont été utilisés pour compromettre plus de 50 000 appareils IOS XE en une semaine.
Les pirates informatiques ont exploité un deuxième jour zéro IOS et IOS XE l’année dernière dans des attaques, un bogue qui leur a permis d’exécuter du code arbitraire, de prendre le contrôle total des systèmes vulnérables et de déclencher des conditions de déni de service (DoS).