Questa settimana ricca di patch urgenti sta per giungere al termine. Dopo VMware e Netgear è oggi la volta di Cisco e SonicWall. Entrambi i produttori hanno corretto falle critiche, con classificazione CVSS rispettivamente di 10 e 9.1 su 10. La gravità delle falle, il fatto che riguardino dispositivi di rete e i precedenti portano a supporre che i cyber criminali inizieranno a breve la scansione della rete per individuare i prodotti vulnerabili. L'installazione delle patch non può aspettare.

Cisco

Partiamo dal caso più grave. Cisco ha chiuso la falla monitorata come CVE-2021-34770: uno dei rari casi in cui viene assegnato il massimo livello di gravità (10 su 10). Potrebbe essere sfruttata da un attaccante remoto non autenticato per eseguire codice arbitrario con privilegi di root. Il problema riguarda l'elaborazione del protocollo CAPWAP (Control and Provisioning of Wireless Access Point) del software Cisco IOS XE per i controller wireless della famiglia Cisco Catalyst 9000.

I prodotti interessati sono i controller wireless della famiglia Cisco Catalyst 9000, che includono i controller wireless per il Cloud Catalyst 9800-CL di classe enterprise, gli Embedded Wireless Controller Catalyst 9800 per switch Catalyst serie 9300, 9400 e 9500, i Wireless Controllers Catalyst serie 9800 e gli Embedded Wireless Controller per Catalyst Access Point.

Oltre a questa falla, Cisco ne ha chiuse altre 30, fra cui vale la pena sottolineare la CVE-2021-34727, che ha ricevuto un punteggio CVSS di 9.8 su 10. Riguarda il processo vDaemon nel software Cisco IOS XE SD-WAN e può essere sfruttata da remoto, senza autenticazione, inviando traffico modificato a un dispositivo di vulnerabile.

Con un attacco riuscito potrebbe consentire a un cyber criminale l'esecuzione di comandi arbitrari con i privilegi più elevati, o nel migliore dei casi causare una condizione di denial of service (DoS). In questo caso i prodotti vulnerabili sono gli Integrated Services Routers (ISR) serie 1000, gli ISR serie 4000, gli Aggregation Services Routers ASR serie 1000 e i Cloud Services Router serie 1000V.

L'elenco dettagliato delle altre falle corrette è pubblicato a questo link.

Sonic Wall

Per SonicWall la situazione è meno critica, anche se la falla CVE-2021-20034 che è stata corretta ha un punteggio CVSS di 9.1. Interessa diversi prodotti della serie Secure Mobile Access (SMA) 100 e può consentire a un attaccante non autenticato di ottenere in remoto l'accesso amministrativo sui dispositivi di destinazione.

I prodotti interessati sono SMA 200, 210, 400, 410 e 500v. Dato che non esistono misure di mitigazione temporanee, SonicWall esorta i clienti a distribuire il prima possibile gli aggiornamenti di sicurezza. L'indice di rischio è dato dal fatto che con un attacco riuscito i cyber criminali possono eliminare file arbitrari dai dispositivi senza patch e riavviare le impostazioni predefinite così da ottenere l'accesso come amministratore.

Chi segue le notizie di cyber security saprà che le appliance SonicWall della serie SMA 100 sono state prese di mira più volte dall'inizio del 2021 dai gruppi ransomware. L'obiettivo di questi attacchi è attuare movimenti laterali nelle reti target.