Nel mese di aprile Cisco ha recentemente emesso diversi avvisi di sicurezza riguardanti vulnerabilità in vari prodotti, che vanno da problemi di Cross-Site Request Forgery (CSRF) e Directory Traversal a Cross-Site Scripting (XSS), Privilege Escalation e Unauthorized Policy Actions. Di seguito, una sintesi delle vulnerabilità e delle azioni consigliate.
Cisco Emergency Responder e Directory Traversal
Le vulnerabilità in Cisco Emergency Responder includono problemi di CSRF e Directory Traversal che potrebbero permettere agli attaccanti di eseguire azioni non autorizzate o accedere a file sensibili. Le versioni colpite sono state aggiornate nelle release 12.5 SU8 e 14 SU4.
Cross-Site scripting su diversi prodotti
Vulnerabilità di XSS sono state trovate in Cisco TelePresence Management Suite, Router Small Business e Cisco Enterprise Chat and Email. Per Cisco TelePresence Management Suite, il problema è stato risolto nella versione 15.13.7. Per i Router Small Business, non ci sono soluzioni, ma si consiglia di disabilitare la gestione remota e bloccare determinate porte. Cisco ECE risolverà la vulnerabilità XSS in una futura release 12.5(1)_ES9 e nella release 12.6(1)_ES7.
Privilege escalation e unauthorized Policy Actions nel Cisco Nexus Dashboard
Una vulnerabilità di escalation dei privilegi è stata scoperta nel Cisco Nexus Dashboard, affrontata nella release 3.1(1k). Allo stesso modo, una vulnerabilità di Unauthorized Policy Actions è stata individuata nel Nexus Dashboard Orchestrator, risolta nella release 4.2(3e).
Divulgazione di informazioni e CSRF in Nexus Dashboard
Un problema di divulgazione di informazioni e un altro di CSRF sono stati rilevati nel Cisco Nexus Dashboard e nei servizi ospitati. Questi problemi sono stati risolti nella release 3.1(1k).
Vulnerabilità Lettura File Arbitraria nel Cisco Nexus Dashboard Fabric Controller
Un’ulteriore vulnerabilità, che consente la lettura di file arbitraria, è stata trovata nel Cisco Nexus Dashboard Fabric Controller, indirizzata con la migrazione a una release corretta.
CSRF nel Cisco Identity Services Engine
Infine, una vulnerabilità CSRF è stata individuata nel Cisco Identity Services Engine, con una correzione prevista per le future release 3.2P5 e 3.3P2.
Raccomandazioni
Cisco consiglia vivamente agli utenti di consultare regolarmente gli avvisi di sicurezza per i prodotti Cisco e di implementare le soluzioni fornite per mitigare il rischio associato a queste vulnerabilità emerse nel mese di aprile. Gli aggiornamenti software che affrontano questi problemi sono disponibili gratuitamente per i clienti con contratti di servizio validi.
