Sommario
Cisco ha pubblicato un pacchetto di dieci advisory di sicurezza che espongono criticità gravi e medie su diverse piattaforme di rete e comunicazione. Le falle includono escalation di privilegi, injection di comandi, file upload arbitrari e vulnerabilità XSS, con implicazioni dirette per le infrastrutture aziendali cloud, ambienti UCS, Nexus, Unified Communications e agenti ThousandEyes. Alcune falle permettono esecuzione remota di codice o accesso non autorizzato a dati sensibili, con patch già disponibili per i prodotti supportati.
Cisco Identity Services Engine: upload di file arbitrari e credenziali statiche
Il componente Cisco ISE, utilizzato per il controllo degli accessi in ambienti aziendali e cloud, è interessato da due vulnerabilità critiche:
- Una falla consente a un utente remoto non autenticato di caricare file arbitrari nel sistema (CVE assegnata non ancora nota), compromettendo l’integrità della piattaforma.
- Un secondo bug, limitato agli ambienti cloud, rivela la presenza di credenziali statiche hardcoded, che potrebbero essere sfruttate da attori esterni per accedere al sistema.
Queste vulnerabilità colpiscono le versioni 3.0–3.3 e sono state corrette nei pacchetti 3.1 P10, 3.2 P7 e 3.3 P3.
Unified Contact Center Express: esecuzione remota e vulnerabilità multiple
L’ambiente Cisco UCCX, dedicato alla gestione dei contact center, presenta due problemi:
- Il primo riguarda l’editor di script integrato: un utente autenticato può sfruttare una falla per ottenere esecuzione remota di codice (RCE).
- Il secondo include vulnerabilità multiple non specificate, che possono compromettere il comportamento della piattaforma, inclusi buffer overflow e crash di sistema.
UCS, Nexus e ThousandEyes: problemi di sicurezza diffusa nei controller e agenti
Cisco UCS è affetto da una falla nell’interfaccia SSH che consente a un utente autenticato di eseguire privilege escalation non autorizzata. Il Nexus Dashboard Fabric Controller, invece, soffre di un errore nella validazione delle chiavi host SSH, rendendo possibile l’intercettazione o impersonificazione del sistema.
Sui sistemi Windows equipaggiati con Cisco ThousandEyes Endpoint Agent, è presente un bug che consente la cancellazione arbitraria di file nel file system, sfruttabile localmente da processi con privilegi limitati.
Vulnerabilità XSS e disclosure informativo in ambienti Collaboration e ICM
Cisco ha segnalato una falla di tipo Cross-Site Scripting (XSS) nell’interfaccia web di Unified Intelligent Contact Management Enterprise, che consente l’iniezione di codice malevolo lato browser. È inoltre presente un problema di information disclosure nel Customer Collaboration Platform, che permette a un utente autenticato di accedere a dati interni sensibili.
Comunicazioni unificate: command injection su VOS
Infine, una delle vulnerabilità più gravi riguarda i prodotti VOS di Cisco, usati per la gestione centralizzata delle comunicazioni. Un utente autenticato potrebbe sfruttare una falla per eseguire comandi arbitrari sul sistema host, con impatti critici su ambienti produttivi.
Fonti ufficiali degli avvisi Cisco:
- ISE Arbitrary File Upload
- ISE Static Credential (Cloud)
- ICM XSS
- UCS SSH Privilege Escalation
- UCCX Multiple Vuln
- UCCX Editor RCE
- ThousandEyes Endpoint Agent
- Nexus SSH Key Validation
- Customer Collaboration Info Disclosure
- Unified Communications Command Injection
Le vulnerabilità descritte coprono un ampio spettro di prodotti Cisco, evidenziando come il vettore di attacco si estenda dall’infrastruttura cloud alle applicazioni di comunicazione e gestione centralizzata. La gravità complessiva delle falle impone l’aggiornamento immediato ai firmware corretti, l’attivazione di sistemi di monitoraggio comportamentale e il controllo degli accessi SSH e API. I team SOC dovrebbero analizzare gli ambienti esposti a ISE, UCS, Nexus, UCCX, ThousandEyes e VOS, seguendo le indicazioni fornite nei bollettini ufficiali.
