Il ricercatore di sicurezza Aaron Thacker in realtà voleva solo costruire un server con un'appliance Cisco. Ha scoperto una vulnerabilità nell'interfaccia di gestione basata sul Web del controller di gestione integrato Cisco. Ha quindi installato Doom e l'ha riprodotto come demo nella console di gestione.
Il ricercatore di sicurezza Aaron Thacker è riuscito ad hackerare solo un Cisco C195 Email Security Appliance, ma la vulnerabilità colpisce un'intera gamma di dispositivi Cisco. Thacker voleva semplicemente ricavare un server dall'appliance e ha scoperto la vulnerabilità durante la conversione. Ha quindi iniziato una catena di attacchi:
- Ha modificato il BIOS per rendere CIMC accessibile alla rete.
- Ha quindi attaccato il sistema di gestione CIMC sulla rete per ottenere l'accesso root a un componente critico del sistema tramite una vulnerabilità legata all'esecuzione di comandi in remoto (CVE-2024-20356).
- Infine, la catena di avvio sicuro potrebbe essere compromessa modificando il PID del dispositivo per consentire l'utilizzo di altre chiavi di avvio sicuro.
Vulnerabilità sfruttata: installato e giocato a Doom
Naturalmente il ricercatore aveva informato in anticipo Cisco e aveva fissato una data di pubblicazione corrispondente. Cisco ha approfittato del tempo e ha fornito gli aggiornamenti appropriati per l'intera linea di prodotti. In una dichiarazione sulla sicurezza, Cisco elenca tutti i dispositivi interessati dalla vulnerabilità. Questo ha un valore CVSS di 8.7 su 10 ed è quindi considerato altamente pericoloso.
Cisco definisce la vulnerabilità "Vulnerabilità di Command Injection nell'interfaccia di gestione basata sul Web di Cisco Integrated Management Controller (IMC)". Una vulnerabilità nell'interfaccia di gestione basata sul Web di Cisco Integrated Management Controller (IMC) potrebbe consentire a un utente malintenzionato autenticato e remoto con privilegi amministrativi per condurre attacchi di iniezione di comandi su un sistema interessato e aumentare i suoi diritti sui privilegi di root.
Questa vulnerabilità è dovuta alla convalida insufficiente dell'input dell'utente. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando comandi creati appositamente all'interfaccia di gestione basata sul Web del software interessato. Un exploit riuscito potrebbe consentire all'aggressore di elevare i propri privilegi a root.
Cisco fornisce aggiornamenti
Cisco fornisce istruzioni e aggiornamenti per la vulnerabilità con identificatore CVE CVE-2024-20356 sul proprio sito Web. Poiché la vulnerabilità è considerata altamente pericolosa, Cisco consiglia un aggiornamento immediato.
Altro su Cisco.com
A proposito di Cisco Cisco è l'azienda tecnologica leader a livello mondiale che rende possibile Internet. Cisco sta aprendo nuove possibilità per le applicazioni, la sicurezza dei dati, la trasformazione dell'infrastruttura e il potenziamento dei team per un futuro globale e inclusivo.