Cisco corre ai ripari, mettendo le “pezze” a diversi prodotti del proprio portafoglio. Il colosso del networking è intervenuto rilasciando una serie di patch per risolvere vulnerabilità più o meno critiche scovate all’interno di diverse soluzioni. I quattro problemi più seri (Cve-2018-0374, Cve-2018-0375, Cve-2018-0376 e Cve-2018-0377) si sono aggiudicati un livello di criticità di 9,8 su 10. Il primo bug è presente nel database Policy Builder della Cisco Policy Suite, software sviluppato dal vendor per telco e fornitori di servizi di connettività: la soluzione permette agli amministratori di rete di impostare l’utilizzo della banda e dei piani di abbonamento per dipendenti e clienti. È proprio l’architettura del software a rendere molto pericolosa la vulnerabilità, perché Policy Suite consente di tracciare in modo molto granulare le attività dei singoli utenti, di effettuare il tiering del traffico e di attivare specifiche politiche di accesso.
Il baco permetterebbe dunque a un hacker di collegarsi da remoto direttamente al database del componente Policy Builder, a causa della mancanza di una rigorosa procedura di autenticazione nell’applicazione. Va da sé che lasciare libero accesso a un tesoro così prezioso consentirebbe a un malintenzionato di modificare tutte le informazioni presenti nel database, con un impatto potenzialmente devastante su tutta la rete.
L’unico modo per prevenire qualsiasi attacco è installare la patch rilasciata da Cisco, che si applica a tutte le versioni di Policy Builder precedenti alla 18.2.0. La vulnerabilità Cve-2018-0375 (livello di criticità 9,8) riguarda sempre lo stesso software per le telco del vendor, ma colpisce il componente Cluster Manager. Ancora una volta, si tratta di una scellerata leggerezza nel processo di autenticazione.
Un hacker potrebbe effettuare il login da remoto a qualsiasi sistema affetto con privilegi massimi, perché l’account root è “protetto” da credenziali preimpostate di default, quindi molto deboli. Anche in questo caso non esistono modi per aggirare la falla (individuata dallo stesso vendor durante procedure di audit interne), se non installando la patch sviluppata dall’azienda statunitense. Tutte le release di Policy Suite antecedenti alla 18.2.0 sono considerate a rischio.
Sono molto simili anche i baci Cve-2018-0376 e Cve-2018-0377, anche se in questi casi la scorretta implementazione di misure di sicurezza basilari riguarda nuovamente il componente Policy Builder e l’interfaccia Open Systems Gateway initiative (Osgi). Le vulnerabilità derivano entrambe dalla mancanza di autenticazione, lasciando campo libero a qualsiasi cybercriminale che riuscisse a collegarsi da remoto al software di Cisco.
Infine, il gigante del networking ha risolto un’altra ventina di bug (tutti con criticità alta e media) che affliggono, ad esempio, soluzioni per la gestione delle Wan definite dal software e prodotti come Finesse. L’elenco completo, con le indicazioni delle rispettive patch, è disponibile a questa pagina.