A Cisco lançou atualizações de segurança para resolver uma vulnerabilidade de alta gravidade no Cisco Umbrella Virtual Appliance (VA). A Vulnerabilidade identificada na chave SSH padrão do Cisco Umbrella permite o roubo de credenciais de administrador remotamente.
O Cisco Umbrella é um serviço de segurança fornecido na nuvem usado por mais de 24.000 organizações como segurança de camada DNS contra ataques de phishing, malware e ransomware, usa essas máquinas virtuais locais como encaminhadores DNS condicionais que registram, criptografam e autenticam dados DNS. De acordo com o BleepingComputer, Fraser Hess, da Pinnacol Assurance, encontrou a falha (rastreada como CVE-2022-20773) no mecanismo de autenticação SSH baseado em chave do Cisco Umbrella VA.
Vulnerabilidade encontrada no Cisco Umbrella
De acordo com a Cisco, essa vulnerabilidade é devido à presença de uma chave de host SSH estática. A empresa diz que, um invasor pode explorar essa vulnerabilidade executando um ataque man-in-the-middle em uma conexão SSH com o Umbrella VA.
“Uma exploração bem-sucedida pode permitir que o invasor aprenda as credenciais do administrador, altere as configurações ou recarregue o VA.” A vulnerabilidade afeta o Cisco Umbrella VA para Hyper-V e VMWare ESXi executando versões de software anteriores à 3.3.2.
Sem impacto nas configurações padrão do Umbrella VA
Felizmente, a Cisco diz que o serviço SSH não é habilitado por padrão nas máquinas virtuais locais da Umbrella, reduzindo significativamente o impacto geral da vulnerabilidade. Para verificar se o SSH está habilitado em seus Cisco Umbrella Virtual Appliances, você precisa fazer login no console do hypervisor, entrar no modo de configuração pressionando CTRL+B e verificar a configuração do VA executando o config va showcomando. A saída do comando deve incluir uma linha “SSH access: enabled” no final em sistemas em que o SSH está ativado.
Não há soluções alternativas ou mitigações disponíveis para essa falha de segurança. Portanto, a Cisco está aconselhando os clientes a atualizar para uma versão de software fixa. Além disso, a equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) também disse que não há código de exploração de prova de conceito público disponível online para essa vulnerabilidade e acrescentou que não está ciente de nenhuma exploração em andamento.
Outras vulnerabilidades já corrigidas
O BleepingComputer lembra que, em novembro, a Cisco também corrigiu um bug de gravidade crítica semelhante (CVE-2021-40119) causado por chaves SSH padrão no mecanismo de autenticação SSH baseado em chave do Cisco Policy Suite, que poderia permitir que invasores remotos e não autenticados fizessem login nos sistemas afetados como raiz do utilizador.
Ainda segundo o site, no mesmo dia, a empresa também abordou uma segunda falha crítica (CVE-2021-34795) vinculada a credenciais codificadas no serviço Telnet de Cisco Catalyst PON Series Switches ONT que permite que invasores não autenticados façam login remotamente usando uma conta de depuração com um senha padrão.
Via: BleepingComputer
