Cisco hari ini mengungkapkan kerentanan zero-day dalam perangkat lunak Prime Collaboration Deployment (PCD) perusahaan yang dapat dieksploitasi untuk serangan scripting lintas situs.
Utilitas manajemen server ini memungkinkan admin untuk melakukan migrasi atau memutakhirkan tugas di server dalam inventaris organisasi mereka.
Dilacak sebagai CVE-2023-20060, bug tersebut ditemukan di antarmuka manajemen berbasis web Cisco PCD 14 dan sebelumnya oleh Pierre Vivegnis dari NATO Cyber Security Center (NCSC).
Eksploitasi yang berhasil memungkinkan penyerang yang tidak diautentikasi untuk meluncurkan serangan skrip lintas situs dari jarak jauh tetapi memerlukan interaksi pengguna.
“Kerentanan ini ada karena antarmuka manajemen berbasis web tidak memvalidasi input yang diberikan pengguna dengan benar. Penyerang dapat mengeksploitasi kerentanan ini dengan membujuk pengguna antarmuka untuk mengklik tautan yang dibuat,” Cisco menjelaskan.
“Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode skrip arbitrer dalam konteks antarmuka yang terpengaruh atau mengakses informasi berbasis browser yang sensitif.”
Sementara Cisco berbagi info tentang dampak cacat itu, perusahaan akan merilis pembaruan keamanan untuk mengatasinya bulan depan. Untuk saat ini, tidak ada solusi yang tersedia untuk menghapus vektor serangan.
Untungnya, Tim Respons Insiden Keamanan Produk Cisco (PSIRT) belum menemukan bukti penggunaan berbahaya di alam liar dan tidak mengetahui kode eksploit publik yang menargetkan bug tersebut.
| Rilis Penerapan Kolaborasi Cisco Prime | Rilis Tetap Pertama |
|---|---|
| 14 dan sebelumnya | 14SU3 (Mei 2023) |
Zero-day yang diungkapkan pada bulan Desember masih menunggu tambalan
Cisco juga harus menambal yang lain IP Phone dengan tingkat keparahan tinggi zero-day (CVE-2022-20968) dengan kode eksploit yang tersedia untuk umum, diungkapkan pada awal Desember 2023.
PSIRT Cisco memperingatkan pada saat itu bahwa “menyadari bahwa kode exploit proof-of-concept tersedia” dan bahwa “kerentanan telah didiskusikan secara terbuka.”
Sementara perusahaan berjanji pembaruan keamanan akan dirilis pada Januari 2023, bug tersebut tetap tidak ditambal beberapa bulan setelah pengungkapan awal.
Perangkat yang terpengaruh oleh CVE-2022-20968 termasuk telepon IP Cisco yang berjalan Firmware Seri 7800 dan 8800 versi 14.2 dan sebelumnya.
Meskipun Cisco tidak memberikan solusi untuk IP Phone zero-day ini, ia menyarankan admin untuk menerapkan tindakan mitigasi sementara, yang mengharuskan penonaktifan Cisco Discovery Protocol pada perangkat yang terpengaruh yang mendukung Link Layer Discovery Protocol (LLDP) sebagai opsi mundur.
“Ini bukan perubahan sepele dan akan membutuhkan ketekunan atas nama perusahaan untuk mengevaluasi dampak potensial terhadap perangkat serta pendekatan terbaik untuk menerapkan perubahan ini di perusahaan mereka,” perusahaan tersebut memperingatkan saat itu.
