Cisco lança patches para vulnerabilidades na Application Centric Infraestructure

A Cisco lançou patches para duas vulnerabilidades de alta gravidade que afetam a sua solução Application Centric Infraestructure (ACI) – a CVE-2023-20011 e a CVE-2023-20089. Ambas as falhas de segurança foram descobertas a nível interno e não há, até à data, indícios de explorações maliciosas.

A CVE-2023-20011 afeta a interface de gestão do Cisco Application Policy Infrastructure Controller (APIC) e o Cloud Network Controller. A falha pode ser explorada por um intruso não autenticado de forma remota por forma a conduzir ataques CSRF – Cross-Site Request Forgery – manipulando o utilizador a clicar um link malicioso. 

Já a CVE-2023-20089 afeta os switches Cisco Nexus 9000 da série Fabric no modo ACI e pode ser explorada para ataques de Denial-of-Service (DoS) por um intruso não autenticado, contudo, de acordo com a Cisco, certas condições devem ser cumpridas para prosseguir com o ataque.

Além disso, a empresa lançou correções para falhas de gravidade média em vários produtos, incluindo uma falha no software UCS Manager e FXOS que expõe arquivos de backup, uma vulnerabilidade command injection no NX-OS e nos dispositivos Firepower, e uma falha de authentication bypass nos extensores Nexus – que requer acesso físico.

A Cisco lançou, ainda, uma nota sobre um problema de privilege escalation relacionado com produtos que correm o software NX-OS e configurados para autenticação SSH com um certificado X.509v3. Adicionalmente, a empresa atualizou a nota informativa sobre a CVE-2023-20032, uma vulnerabilidade que afeta da biblioteca ClamAV, e informou os clientes sobre a disponibilidade de informações técnicas sobre a falha e de um proof-of-concept (POC) exploit.