Nuovo round di aggiornamenti di sicurezza da parte di Cisco. L’azienda ha rilasciato una trentina di patch per diversi prodotti e la gravità delle falle è etichettata come “alta” o “media”. La maggior parte degli update riguarda il software Nx-Os per gli switch e il sistema operativo Fxos per i firewall. I bug consentono a un eventuale attaccante di fare diverse cose: dall’ottenere accesso non autorizzati ai dispositivi fino all’esecuzione di codice arbitrario da remoto, passando per l’interruzione di servizio. La falla peggiore, con un punteggio Cvss di 8,6 su 10, riguarda un’implementazione scorretta del protocollo Ldap in Fxos ed Nx-Os, che consente a un hacker di attaccare i dispositivi da remoto e di riavviarli, scatenando così una condizione Dos. Il baco impatta su un ampio numero di soluzioni di Cisco, comprese le serie Firepower 4100 di firewall e le appliance Firepower 9300 Security.
Il bollettino di sicurezza pubblicato in queste ore dall’azienda contiene anche un avviso aggiuntivo, con cui il vendor consiglia ai possessori di switch Nexus di disabilitare la funzionalità Poweron Auto Provisioning (Poap) a scopo precauzionale. Come spiega il colosso statunitense, questi dispositivi di rete supportano il Poap per il provisioning automatico e l’integrazione zero-touch nell’infrastruttura aziendale.
Attivata di default, la funzionalità controlla in autonomia uno script locale di configurazione: se il codice viene cancellato, lo switch viene resettato alle impostazioni di fabbrica o se si tratta del primo avvio, il demone Poap si collega a una lista preimpostata di server per scaricare il file iniziale di configurazione. Ma, per portare a termine con successo l’operazione, il dispositivo deve prima ottenere un indirizzo Ip da un server Dhcp locale.
Ma il problema, secondo Cisco, è che lo switch accetta la risposta Dhcp più veloce e, quindi, un hacker presente nella rete locale potrebbe inviare pacchetti malevoli e indurre la macchina a scaricare (ed eseguire) script caricati su server controllati dall’attaccante. Per evitare situazioni “spiacevoli”, quindi, Cisco consiglia di disattivare subito la funzionalità.