10 de 10: uma vulnerabilidade crítica de dia zero foi encontrada no Cisco IOS XE, que permitiu controle total sobre 10 mil dispositivos

A Cisco anunciou a identificação de uma vulnerabilidade de dia zero anteriormente desconhecida CVE-2023-20198 no servidor web Cisco IOS XE. A vulnerabilidade afeta dispositivos físicos e virtuais que executam o Cisco IOS XE, que também possuem a função de servidor HTTP(S) habilitada. A vulnerabilidade recebeu a classificação de gravidade máxima de 10 em 10 pontos possíveis na escala CVSS. O patch que cobre a vulnerabilidade ainda não está pronto. A vulnerabilidade permite que um hacker crie uma conta com nível de privilégio máximo (15) em um dispositivo conectado à Internet sem autenticação, o que lhe dá controle total sobre o sistema comprometido. A empresa disse que rastreou como um invasor explorou a vulnerabilidade para obter privilégios de nível de administrador em dispositivos executando IOS XE e, em seguida, contornou os patches usando uma vulnerabilidade de execução remota de código (RCE) de 2021 (CVE-2021-1435) mais antiga para instalar Lua. -implantar nos sistemas afetados.