Cisco, Cisco Expressway Serisi tümleşik iletişim ağ geçitlerinde, etkilenen cihazları “keyfi eylemler” gerçekleştiren bir saldırganın eline geçiren üç API güvenlik açığını açıkladı.
Cisco’nun tavsiye belgesinde, siteler arası istek sahteciliği (CSRF) hatalarının Cisco Expressway Control ve Cisco Expressway Edge cihazlarını etkilediği belirtiliyor.
Cisco’nun tavsiye belgesindeki üç güvenlik açığı, CVE-2024-20252, CVE-2024-20254 ve CVE-2024-20255, cihazların web yönetimi arayüzündeki CSRF hatalarıdır.
Danışmanlık, her üç güvenlik açığının da bir API kullanıcısını hazırlanmış bir bağlantıyı takip etmeye ikna ederek istismar edildiğini belirtti.
Başarılı bir istismar, saldırganın etkilenen kullanıcının ayrıcalığıyla, yönetici ayrıcalıklarına kadar “keyfi eylemler gerçekleştirmesine” olanak tanır.
CVE-2024-20252 ve CVE-2024-20254 (her ikisinin de CVSS puanı 9,6’dır), başarılı bir saldırganın sistem yapılandırmasını değiştirmesine ve yeni ayrıcalıklı hesaplar oluşturmasına olanak tanır.
Daha düşük puan alan CVE-2024-20255 (CVSS puanı 8,2) ayrıca bir saldırganın bazı sistem komutlarını yürütmesine izin verir, ancak kurbanı yalnızca hizmet reddi saldırısına maruz bırakır.
Güvenlik açıkları, 14.0’dan (daha sonraki, sabit bir sürüme yükseltme gerektiren) 14.0’dan (14.3.4’te düzeltildi) ve 15.0’dan (15.0.0’da düzeltildi) daha eski Cisco Expressway Serisini etkiliyor.
Hatalar ayrıca, yama almayacak olan kullanım ömrü sonundaki Cisco TelePresence video iletişim sunucusunu da etkiliyor.