A Cisco, empresa que fornece solu\u00e7\u00f5es em rede e comunica\u00e7\u00f5es, lan\u00e7ou atualiza\u00e7\u00f5es de seguran\u00e7a na quarta-feira (1\u00ba de mar\u00e7o de 2023) para resolver uma falha cr\u00edtica que afeta seus produtos da s\u00e9rie IP Phone 6800, 7800, 7900 e 8800. A vulnerabilidade, denominada CVE-2023-20078, recebeu uma classifica\u00e7\u00e3o 9.8 de 10 no sistema de pontua\u00e7\u00e3o CVSS e \u00e9 descrita como um bug de inje\u00e7\u00e3o de comando na interface de gerenciamento baseada na web devido \u00e0 valida\u00e7\u00e3o insuficiente da entrada fornecida pelo usu\u00e1rio.<\/p>\n
\u00a0<\/p>\n
A explora\u00e7\u00e3o bem-sucedida da falha pode permitir que um invasor remoto e n\u00e3o autenticado injete comandos arbitr\u00e1rios que s\u00e3o executados com os mais altos privil\u00e9gios no sistema operacional subjacente. A Cisco alertou que “um invasor pode explorar essa vulnerabilidade enviando uma solicita\u00e7\u00e3o manipulada para a interface de gerenciamento baseada na web”.<\/p>\n
\u00a0<\/p>\n
A empresa tamb\u00e9m corrigiu uma vulnerabilidade de nega\u00e7\u00e3o de servi\u00e7o (DoS) de alta severidade que afeta o mesmo conjunto de dispositivos, bem como o Cisco Unified IP Conference Phone 8831 e a s\u00e9rie Unified IP Phone 7900. A vulnerabilidade, denominada CVE-2023-20079, com uma pontua\u00e7\u00e3o CVSS de 7.5, tamb\u00e9m \u00e9 resultado de valida\u00e7\u00e3o insuficiente da entrada fornecida pelo usu\u00e1rio na interface de gerenciamento baseada na web.<\/p>\n
\u00a0<\/p>\n
Um advers\u00e1rio pode explorar a CVE-2023-20079 para causar uma condi\u00e7\u00e3o de nega\u00e7\u00e3o de servi\u00e7o. Embora a Cisco tenha lan\u00e7ado a vers\u00e3o 11.3.7SR1 do firmware multiplataforma para resolver a CVE-2023-20078, a empresa n\u00e3o planeja corrigir a CVE-2023-20079, j\u00e1 que ambos os modelos Unified IP Conference Phone atingiram o fim da vida \u00fatil (EoL).<\/p>\n
\u00a0<\/p>\n
A Cisco afirmou n\u00e3o ter conhecimento de quaisquer tentativas de explora\u00e7\u00e3o maliciosa visando a falha. Al\u00e9m disso, a empresa declarou que as falhas foram descobertas durante testes internos de seguran\u00e7a. Essas informa\u00e7\u00f5es chegam \u00e0 tona ao mesmo tempo em que a Aruba Networks, uma subsidi\u00e1ria da Hewlett Packard Enterprise, lan\u00e7ou uma atualiza\u00e7\u00e3o do ArubaOS para remediar m\u00faltiplas falhas de inje\u00e7\u00e3o de comando n\u00e3o autenticado e estouro de buffer baseado em pilha (de CVE-2023-22747 a CVE-2023-22752, pontua\u00e7\u00e3o CVSS: 9.8) que podem resultar em execu\u00e7\u00e3o de c\u00f3digo.<\/p>\n
\u00a0<\/p>\n
Em resumo, essas atualiza\u00e7\u00f5es de seguran\u00e7a s\u00e3o cr\u00edticas para garantir a prote\u00e7\u00e3o dos dispositivos da Cisco contra poss\u00edveis ataques de inje\u00e7\u00e3o de comando e DoS que podem ser explorados por invasores remotos. \u00c9 essencial que os usu\u00e1rios desses produtos implementem as corre\u00e7\u00f5es o mais r\u00e1pido poss\u00edvel para garantir a seguran\u00e7a de suas redes e sistemas.<\/p>\n
\u00a0<\/p>\n