Switch di Cisco vulnerabili, ma ci sono le patch

Nuove vulnerabilità sono state scoperte in un software e in una serie di switch di Cisco: si tratta di Cisco Policy Suite, un pacchetto software per la gestione delle policy, dei dati e dei servizi usato da operatori di telecomunicazione e service provider, e dei terminali Cisco Catalyst Passive Optical Network (Pon). Lo stesso vendor ha dato notizia delle vulnerabilità e ha rilasciato prontamente una serie di aggiornamenti di sicurezza che permettono di risolvere i problemi.

In assenza di patch, invece, un eventuale attaccante potrebbe prendere il controllo dei sistemi colpiti per eseguire azioni da remoto. In particolare, la vulnerabilità di Cisco Policy Suite (identificata come CVE-2021-40119) è insita nel meccanismo di autenticazione crittografata del Secure Shell e potrebbe consentire a un malintenzionato di eseguire un login come utente root: così facendo, l’attaccante avrebbe la possibilità di leggere e modificare file, installare malware e altro ancora. Su questo bug è intervenuta addirittura la Cybersecurity & Infrastructure Security Agency (Cisa), agenzia governativa statunitense, che ha invitato utenti e amministratori a prestare attenzione all’allerta di Cisco e a installare i necessari aggiornamenti.

Per quanto riguarda i terminali di rete ottica Cisco Catalyst Pon, le vulnerabilità gravi scoperte sono tre, due delle quali hanno meritato il punteggio di severità massima di 10 su 10. Il primo problema di massima gravità (CVE-2021-40113) espone al rischio di attacchi di command injection, nei quali è possibile “iniettare” codice software eseguibile in un’applicazione. La seconda vulnerabilità da bollino rosso (CVE-2021-34795) permette a chi attacca di prendere il totale controllo dello switch autenticandosi attraverso credenziali visibili in chiaro nel codice sorgente.

La terza vulnerabilità grave (CVE-2021-40112), marchiata con un punteggio di 8,6 su 10, permette a un attaccante di modificare le configurazioni dello switch inviando richieste Https confezionate ad hoc. Cisco ha sottolineato il fatto che i tre bug sono indipendenti l’uno dall’altro, dunque è necessario installare tutte le patch rese disponibili. Tra i prodotti affetti da questi problemi ci sono i modelli Catalyst Pon Switch CGP-ONT-1P, CGP-ONT-4P, CGP-ONT-4PV, CGP-ONT-4PVC e CGP-ONT-4TVCW.