Scopri i nostri percorsi di Hacking e approfitta dell'imperdibile promozione! Scopri di più
La presenza in un sistema di molteplici vulnerabilità consente agli aggressori di combinare le differenti proprietà dei difetti insite in esse, in una amplificazione delle capacità offensive: si dice concatenare le vulnerabilità
È quanto è stato scoperto nel sistema Cisco Identity Services Engine, il servizio di identità su cui è possibile basare un sistema di controllo dell’accesso alla rete (NAC) con cui è possibile controllare l’accesso degli endpoint alla rete e gestire gli stessi dispositivi di rete.
Colpire questo servizio è colpire al cuore la sicurezza di una rete.
Sono state rinvenute ben 4 vulnerabilità di differente gravità, anche con possibilità di concatenazione (con una quinta già nota) per rafforzarne la potenza detonante, in particolare l’esecuzione di comandi arbitrari, l’aggirare protezioni di sicurezza ed eseguire attacchi XSS (cross-site scripting).
Ma andiamo con ordine.
La più grave è certamente la CVE-2022-20964 (Iniezione di comandi – CWE-78, CVSS 6.3). Questa per stessa ammissione di Cisco può essere sfruttata per ottenere la root shell sul sistema operativo, e dunque una violazione della triade CIA, quando combinata con la CVE-2022-20959 (CWE-79, “Improper Neutralization of Input During Web Page Generation”, una vulnerabilità nell'API RESTful Services esterna - ERS di ISE), una vulnerabilità XSS già risolta da Cisco ad ottobre. La gravità è anche in considerazione del possibile sfruttamento mediante un semplice click su un collegamento creato ad arte.
Segue la vulnerabilità CVE-2022-20965 (CWE-648, “Broken Access Control”) nella funzionalità tcpdump disponibile dall’interfaccia di gestione basata su web (CVSS 4.3): questa consente un bypass dei criteri di sicurezza del sistema di gestione e consente all'attaccante di intraprendere azioni privilegiate all'interno della stessa, come eseguire download di file generati dalla funzione e portando alla divulgazione di informazioni altrimenti inaccessibili.
Seguono le vulnerabilità che affliggono altre funzionalità offerte dall’interfaccia di gestione basata su web: la CVE-2022-20966 e CVE-2022-20967.
La CVE-2022-20966 (CWE-79, “Persistent XSS, CVSS 5.4) potrebbe consentire a un utente malintenzionato remoto autenticato di condurre attacchi contro altri utenti dell'interfaccia di gestione basata sul Web che utilizzino la funzionalità tcpdump.
La CVE-2022-20967 CWE-79, “Persistent XSS, CVSS 4.8) potrebbe consentire a un utente malintenzionato remoto autenticato di condurre attacchi XSS contro altri utenti dell'interfaccia di gestione basata sul Web che utilizzino la funzionalità Server RADIUS esterno.
Cisco afferma che le patch sono pianificate per il primo trimestre del 2023, per le versioni di ISE 3.1p6 e 3.2p1; pensa ad un possibile rilascio di patch per le versioni 2.7 e 3.0 e comunque invita i clienti a contattarla per hot patch.
Nel frattempo PoC vengono annunciati e si avvicina il rischio di un rilevamento di uno sfruttamento in natura.
