Cisco ha confermato che una vulnerabilità di bypass dell'autenticazione nel suo controller Catalyst SD-WAN è attivamente sfruttata. Questa falla consente a attaccanti remoti non autenticati di eludere i controlli di accesso e ottenere privilegi amministrativi completi sul sistema. L'azienda raccomanda di applicare le patch di sicurezza disponibili e di rivedere le configurazioni per ridurre il rischio di compromissione.
Dettagli tecnici del bypass di autenticazione 🔐
La vulnerabilità, identificata come CVE-2024-XXXX, risiede nel meccanismo di autenticazione del controller SD-WAN. Un attaccante può inviare richieste HTTP manipolate per saltare la verifica delle credenziali. Ciò concede accesso totale all'interfaccia di amministrazione, consentendo di modificare regole di traffico, estrarre dati o distribuire configurazioni dannose. Cisco ha pubblicato aggiornamenti firmware per le versioni interessate. Gli amministratori devono dare priorità all'installazione di queste patch e segmentare la rete di gestione per limitare l'esposizione.
La porta aperta che nessuno ha chiesto 🚪
Sembra che Cisco abbia deciso di includere una funzione non documentata: accesso VIP per qualsiasi visitatore. Non serve password, né utente, né un sorriso gentile. Solo una richiesta ben formata e voilà, sei amministratore. È come lasciare le chiavi della macchina inserite con il motore acceso in un quartiere pericoloso. Meno male che gli attaccanti sono gentili e ci avvisano sfruttandola.