O pesquisador de segurança Aaron Thacker, na verdade, só queria construir um servidor a partir de um dispositivo Cisco. Ele descobriu uma vulnerabilidade na interface de gerenciamento baseada na Web do Cisco Integrated Management Controller. Ele então instalou Doom e jogou como demonstração no console de gerenciamento.
O pesquisador de segurança Aaron Thacker só conseguiu hackear um Cisco C195 Email Security Appliance, mas a vulnerabilidade afeta uma ampla gama de dispositivos Cisco. Thacker só queria construir um servidor a partir do dispositivo e descobriu a vulnerabilidade durante a conversão. Ele então iniciou uma cadeia de ataques:
- Ele alterou o BIOS para tornar o CIMC acessível à rede.
- Ele então atacou o sistema de gerenciamento CIMC pela rede para obter acesso root a um componente crítico do sistema por meio de uma vulnerabilidade de execução remota de comando (CVE-2024-20356).
- Finalmente, a cadeia de inicialização segura pode ser comprometida pela alteração do PID do dispositivo para permitir o uso de outras chaves de inicialização seguras.
Vulnerabilidade explorada – instalou e jogou Doom
🔎 O pesquisador de segurança Aaron Thacker quebrou o dispositivo Cisco e instalou o Doom no console de gerenciamento como uma demonstração (Imagem: Aaron Thacker, Doom Copyrights by ID Software)
É claro que o pesquisador informou a Cisco com antecedência e definiu uma data de publicação correspondente. A Cisco aproveitou o momento e forneceu atualizações apropriadas para toda a linha de produtos. Numa declaração de segurança, a Cisco lista todos os dispositivos afetados pela vulnerabilidade. Isto tem um valor CVSS de 8.7 em 10 e, portanto, é considerado altamente perigoso.
A Cisco chama a vulnerabilidade de “Vulnerabilidade de injeção de comando na interface de gerenciamento baseada na Web do Cisco Integrated Management Controller (IMC)”. Uma vulnerabilidade na interface de gerenciamento baseada na Web do Cisco Integrated Management Controller (IMC) pode permitir que um invasor remoto autenticado com privilégios administrativos para conduzir ataques de injeção de comando em um sistema afetado e aumentar os direitos para privilégios de root.
Esta vulnerabilidade se deve à validação insuficiente da entrada do usuário. Um invasor pode explorar essa vulnerabilidade enviando comandos criados para a interface de gerenciamento baseada na Web do software afetado. Uma exploração bem-sucedida pode permitir que o invasor eleve seus privilégios para root.
Cisco fornece atualizações
A Cisco fornece instruções e atualizações para a vulnerabilidade com o identificador CVE CVE-2024-20356 em seu site. Como a vulnerabilidade é considerada altamente perigosa, a Cisco recomenda uma atualização imediata.
Mais em Cisco.com
Sobre a Cisco A Cisco é a empresa de tecnologia líder mundial que torna a Internet possível. A Cisco está abrindo novas possibilidades para aplicativos, segurança de dados, transformação de infraestrutura e capacitação de equipes para um futuro global e inclusivo.