Pesquisadores de segurança relataram que as empresas de software Cisco e VMWare lançaram alertas de segurança sobre várias vulnerabilidades críticas em seus produtos.
CVE-2023-20887: as vulnerabilidades VMWare
VMWare tem emitido atualizações para resolver três bugs significativos no Aria Operations for Networks que podem levar à exposição de informações e execução remota de código.
A mais grave das falhas, rastreado como CVE-2023-20887 e com uma pontuação de 9.8 fora de 10 no sistema de pontuação CVSS, daria a um invasor com acesso à rede ao sistema a capacidade de realizar a execução remota de código.
A empresa também corrigiu uma vulnerabilidade de desserialização, CVE-2023-20888, classificado 9.1 fora de 10 na escala CVSS.
Enquanto um indivíduo com um 'membro’ função e acesso à rede para o Aria Operations for Networks tem o potencial de explorar essa vulnerabilidade, realizando um ataque de desserialização e, posteriormente, execução remota de código, uma terceira vulnerabilidade de segurança, um bug de divulgação de informações com uma pontuação CVSS de 8.8 (CVE-2023-20889) também foi consertado.
este bug, se aproveitado, poderia permitir um ataque de injeção de comando que daria a um invasor acesso a dados confidenciais.
As três falhas no VMware Aria Operations Networks versão 6.x foram corrigidas por meio de patches em versões subsequentes 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9, e 6.10, sem solução possível para mitigar os problemas apresentados.
CVE-2023-20105: as vulnerabilidades da Cisco
além disso, com CVE-2023-20105, que tem uma pontuação CVSS de 9.6, A Cisco enviou uma correção para uma vulnerabilidade crítica no Expressway Series e no TelePresence Video Communication Server (VCS); já que é uma falha de escalonamento de privilégio, um invasor autenticado com credenciais somente leitura em nível de administrador pode elevar seu acesso a um usuário de leitura/gravação em um sistema afetado alterando as senhas.
Cisco recentemente endereçado a presença de duas falhas de segurança de alta gravidade em seu produto VCS (CVE-2023-20192, pontuação CVSS de 8.4, e CVE-2023-20193). Como medida provisória para proteger contra as vulnerabilidades, a empresa sugeriu que o acesso CLI deve ser desabilitado para usuários somente leitura. Além disso, Versões VCS 14.2.1 e 14.3.0 foram lançados para corrigir os problemas de segurança mencionados acima.
além do que, além do mais, três outras vulnerabilidades no depurador gráfico de código aberto, RenderDoc (CVE-2023-33863, CVE-2023-33864, e CVE-2023-33865) foram descobertos que poderiam conceder privilégios escalonados aos invasores e permitir que eles executassem códigos arbitrários. Ainda não há nenhum relato dessas brechas sendo exploradas na natureza, mas é altamente recomendável que as partes afetadas corrijam seus sistemas rapidamente para se proteger contra quaisquer riscos potenciais.