Notícias de dispositivos móveis, gadgets, aplicativos Android

Falha na implementação de SSO no Cisco Broadworks permite que invasores falsifiquem credenciais

Uma falha de implementa√ß√£o de logon √ļnico (SSO) na Cisco BroadWorks Application Delivery Platform e na Cisco BroadWorks Xtended Services Platform pode possibilitar que um invasor remoto e n√£o autenticado forje credenciais para acessar um sistema vulner√°vel.

Esta vulnerabilidade de gravidade ‚ÄúCr√≠tica‚ÄĚ tem uma pontua√ß√£o base CVSS de 10.0 e √© rastreado como CVE-2023-20238.

A Cisco lan√ßou atualiza√ß√Ķes de software para resolver esta vulnerabilidade. N√£o existem solu√ß√Ķes alternativas que resolvam esta vulnerabilidade.

Detalhes da vulnerabilidade

A Cisco afirmou que o processo usado para validar tokens SSO causa esta vulnerabilidade. Ao fazer login no aplicativo usando credenciais falsas, um invasor pode tirar vantagem dessa vulnerabilidade.

‚ÄúEssa vulnerabilidade se deve ao m√©todo usado para validar tokens SSO. Um invasor pode explorar essa vulnerabilidade autenticando-se no aplicativo com credenciais forjadas‚ÄĚ, afirmou a Cisco em seu Comunicado de Seguran√ßa.

Se a vulnerabilidade for bem-sucedida, o invasor poder√° usar a conta forjada para executar comandos ou cometer fraude de tarifa√ß√£o. Al√©m disso, o invasor poder√° ler dados confidenciais, alterar as configura√ß√Ķes do cliente ou alterar as configura√ß√Ķes de outros usu√°rios se essa conta for uma conta de administrador.

‚ÄúSe essa conta for de administrador, o invasor ter√° a capacidade de visualizar informa√ß√Ķes confidenciais, modificar as configura√ß√Ķes do cliente ou modificar as configura√ß√Ķes de outros usu√°rios‚ÄĚ, disse a Cisco.

O invasor exigiria um ID de usuário legítimo vinculado a um sistema Cisco BroadWorks afetado para aproveitar essa falha.

Produtos afetados

Se você estiver executando uma versão vulnerável do Cisco BroadWorks e tiver habilitado um dos aplicativos a seguir, estará vulnerável a esse problema.

  • Servi√ßo de autentica√ß√£o
  • BWCallCenter
  • BWRecepcionista
  • Recupera√ß√£o de arquivos de m√≠dia personalizados
  • ModeradorClientApp
  • Consulta ECL p√ļblica
  • Relat√≥rios P√ļblicos
  • UCAPI
  • Xsi-A√ß√Ķes
  • Xsi-Eventos
  • Xsi-MMTel
  • Xsi-VTR
N√≥s recomendamos:  Como os jogos se adaptaram √† gera√ß√£o de telefones celulares

Produtos n√£o afetados

  • Manual do BroadWorks Ansible
  • Servidor de banco de dados BroadWorks
  • Servidor de solu√ß√£o de problemas de banco de dados BroadWorks
  • Servidor de execu√ß√£o BroadWorks
  • Servidor de m√≠dia BroadWorks
  • Servidor de mensagens BroadWorks
  • Servidor de banco de dados de rede BroadWorks
  • Gerenciador de fun√ß√Ķes de rede BroadWorks
  • Servidor de rede BroadWorks
  • Verifica√ß√£o de pr√©-instala√ß√£o do BroadWorks
  • Servidor de perfil BroadWorks
  • Servidor de fun√ß√£o de controle de servi√ßo BroadWorks
  • Ferramenta de relat√≥rio de licen√ßa de servi√ßo BroadWorks
  • Servidor de compartilhamento BroadWorks
  • Gerente de Software BroadWorks
  • Servidor de v√≠deo BroadWorks
  • Servidor BroadWorks WebRTC

Corre√ß√Ķes dispon√≠veis

A Cisco disponibilizou atualiza√ß√Ķes de software gratuitas para corrigir esse problema.

Os clientes são incentivados a atualizar para uma versão de software fixa aplicável assim que possível.

Table of Contents