Cisco rilascia aggiornamenti per risolvere la vulnerabilità in IOS XE

02/09/2019

Cisco CVE-2019-12643

 

Il CERT-PA durante la consueta attività di monitoraggio delle fonti OSINT, ha appreso che Cisco ha rilasciato aggiornamenti di sicurezza per correggere una criticità del sistema IOS XE che interessa l’interfaccia API (REST Application Programming Interface).

La vulnerabilità associata alla CVE-2019-12643 è dovuta ad un controllo non correttamente eseguito dall’area di codice che gestisce il servizio di autenticazione API REST e consente ai potenziali aggressori di inviare richieste HTTP malevole ad un dispositivo vulnerabile ed ottenere l’ID token di un utente autenticato. Quest’ultimo potrebbe essere utilizzato per bypassare l’autenticazione ed eseguire azioni privilegiate attraverso l’interfaccia del contenitore API REST sul dispositivo Cisco IOS XE interessato.

Il bug interessa i seguenti dispositivi:

  • Router di servizi integrati Cisco serie 4000
  • Router Cisco ASR 1000 Series Aggregation Services
  • Router Cisco Cloud Services serie 1000V
  • Router virtuale Cisco Integrated Services

Cisco ha già rilasciato una patch per correggere il bug sul suo sito Web.

Il CERT-PA consiglia di seguire le indicazioni di Cisco e di procedere all’aggiornamento.