Seria vulnerabilità zero-day nel software IOS XE di Cisco: attaccanti possono prendere il controllo di router e switch
Serio rischio per la sicurezza dei dispositivi Cisco: una vulnerabilità zero-day mette a rischio router e switch
Cisco ha rilevato una grave vulnerabilità nel suo software IOS XE che consente a hacker non autenticati di ottenere pieni privilegi di amministratore e il controllo remoto di router e switch. Per mitigare il rischio, Cisco consiglia di disabilitare la funzione del server HTTP sui dispositivi esposti a Internet.
Cisco ha emesso un allarme di sicurezza critico agli amministratori riguardante una grave vulnerabilità zero-day di bypass dell'autenticazione presente nel suo software IOS XE. Questo difetto consente agli attaccanti non autenticati di ottenere pieni privilegi di amministratore e di assumere il completo controllo di router e switch in remoto.
Dispositivi con l'interfaccia utente web abilitata
Questa vulnerabilità critica è stata ufficialmente identificata con il codice CVE-2023-20198 ed è ancora in attesa di una patch. Colpisce esclusivamente i dispositivi che hanno abilitata la funzione Interfaccia Utente Web (Web UI), in combinazione con la funzione Server HTTP o HTTPS attivata.
Attacchi in corso e possibilità di creare account
Cisco ha identificato l'esecuzione attiva di questa vulnerabilità sconosciuta precedentemente nel componente Interfaccia Utente Web (Web UI) del software Cisco IOS XE. È importante notare che lo sfruttamento della vulnerabilità è possibile quando tali dispositivi sono esposti a Internet o a reti non attendibili.
Misure di mitigazione consigliate da Cisco
Per mitigare questa minaccia, Cisco consiglia agli amministratori di disabilitare la funzione del server HTTP sui sistemi esposti a Internet, eliminando efficacemente il vettore di attacco e bloccando potenziali attacchi. L'azienda consiglia ai clienti di utilizzare comandi come no ip http server
o no ip http secure-server
in modalità di configurazione globale per disabilitare completamente la funzione del server HTTP. Inoltre, dopo aver disabilitato questa funzione, dovrebbe essere eseguito il comando copy running-configuration startup-configuration
per garantire che la funzione del server HTTP non venga abilitata in modo imprevisto durante i riavvii di sistema.
10/17/2023 08:37
Marco Verro