Брешь в Cisco IMC: когда хакеры становятся администраторами за пару минут

Cisco выпустила обновления для устранения серьёзной уязвимости в своём интегрированном контроллере управления, которая позволяет локальным атакующим повысить свои привилегии до уровня администратора.

«Уязвимость в командной строке Cisco Integrated Management Controller (IMC) может позволить локальному авторизованному злоумышленнику выполнять атаки с использованием командной строки в базовой операционной системе и повышать привилегии до root», — объяснили в компании.

Проблема, получившая идентификатор CVE-2024-20295, вызвана недостаточной проверкой данных, введённых пользователем. Это позволяет применять специально сформированные команды для проведения атак низкой сложности.

Список устройств, подверженных риску, включает в себя серверы Cisco следующих серий:

• 5000 Series Enterprise Network Compute Systems (ENCS);
• Catalyst 8300 Series Edge uCPE;
• Серверы UCS C-Series в автономном режиме;
• Серверы UCS E-Series.

Команда по реагированию на инциденты безопасности продуктов Cisco (PSIRT) предупреждает, что PoC-эксплойт уже доступен в открытом доступе, хотя активные атаки пока не зафиксированы.

Тем временем, всего пару дней назад подразделение Cisco Talos выпустило отчёт, в котором сообщило о масштабной кампании по подбору учётных данных, нацеленной на VPN- и SSH-сервисы на устройствах Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti.

Компания рекомендовала клиентам предпринимать все возможные меры против атак методом перебора на устройствах с настроенным удалённым доступом к VPN-сервисам.