Cisco bugün, şirketin Prime Collaboration Deployment (PCD) yazılımında siteler arası komut dosyası çalıştırma saldırıları için kullanılabilecek sıfır günlük bir güvenlik açığını açıkladı.
Bu sunucu yönetimi yardımcı programı, yöneticilerin kuruluşlarının envanterindeki sunucularda geçiş veya yükseltme görevleri gerçekleştirmesine olanak tanır.
CVE-2023-20060 olarak izlenen hata, Cisco PCD 14 ve önceki sürümlerin web tabanlı yönetim arayüzünde NATO Siber Güvenlik Merkezi’nden (NCSC) Pierre Vivegnis tarafından bulundu.
Başarılı istismar, kimliği doğrulanmamış saldırganların siteler arası komut dosyası çalıştırma saldırılarını uzaktan başlatmasına olanak tanır, ancak kullanıcı etkileşimi gerektirir.
Cisco, “Bu güvenlik açığı, web tabanlı yönetim arabiriminin kullanıcı tarafından sağlanan girişi düzgün bir şekilde doğrulamamasından kaynaklanmaktadır. Bir saldırgan, arabirim kullanıcısını hazırlanmış bir bağlantıyı tıklatmaya ikna ederek bu güvenlik açığından yararlanabilir.”
“Başarılı bir istismar, saldırganın etkilenen arabirim bağlamında rasgele komut dosyası kodu yürütmesine veya hassas, tarayıcı tabanlı bilgilere erişmesine izin verebilir.”
Cisco, kusurun etkisi hakkında bilgi paylaşırken, şirket önümüzdeki ay bir ara ele almak için güvenlik güncellemeleri yayınlayacak. Şimdilik, saldırı vektörünü kaldırmak için herhangi bir geçici çözüm mevcut değildir.
Şans eseri, Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) henüz vahşi ortamda herhangi bir kötü amaçlı kullanım kanıtı bulmadı ve hatayı hedefleyen genel istismar kodundan habersiz.
| Cisco Prime İşbirliği Dağıtım Sürümü | İlk Sabit Sürüm |
|---|---|
| 14 ve öncesi | 14SU3 (Mayıs 2023) |
Aralık ayında açıklanan sıfır gün, hala bir yama bekliyor
Cisco’nun ayrıca, Aralık 2023’ün başlarında açıklanan, kamuya açık açıklardan yararlanma koduyla başka bir yüksek önem düzeyine sahip IP Telefonu sıfır günlük (CVE-2022-20968) yama yapması gerekiyor.
Cisco’nun PSIRT’si o sırada “kavram kanıtı istismar kodunun mevcut olduğunun farkında” ve “güvenlik açığının kamuoyunda tartışıldığı” konusunda uyardı.
Şirket, güvenlik güncellemelerinin Ocak 2023’te yayınlanacağına söz vermiş olsa da, hata ilk açıklamadan aylar sonra yamasız olarak kaldı.
CVE-2022-20968’den etkilenen cihazlar, 7800 ve 8800 Serisi üretici yazılımı sürüm 14.2 ve önceki sürümleri çalıştıran Cisco IP telefonlarını içerir.
Cisco, bu IP Telefonu sıfır gün için bir geçici çözüm sağlamasa da, yöneticilere, bir geri dönüş seçeneği olarak Bağlantı Katmanı Keşif Protokolünü (LLDP) destekleyen etkilenen cihazlarda Cisco Keşif Protokolünün devre dışı bırakılmasını gerektiren geçici etki azaltma önlemlerini uygulamalarını tavsiye etti.
Şirket o sırada “Bu önemsiz bir değişiklik değil ve cihazlar üzerindeki herhangi bir potansiyel etkinin yanı sıra bu değişikliği kuruluşlarına uygulamak için en iyi yaklaşımı değerlendirmek için kuruluş adına özen gösterilmesini gerektirecek” uyarısında bulundu.