W Cisco BroadWorks Application Delivery Platform oraz Cisco BroadWorks Xtended Services Platform wykryto istotną lukę w zabezpieczeniach, która potencjalnie umożliwia zdalnym atakującym fałszowanie danych uwierzytelniających oraz obejście mechanizmów uwierzytelniania.
Cisco BroadWorks to platforma usług komunikacyjnych w chmurze, oferująca swoje usługi zarówno firmom, jak i klientom indywidualnym. Wspomniane wyżej komponenty platformy pełnią istotną rolę w zarządzaniu aplikacjami oraz integracji.
Odkryta luka została wewnętrznie sklasyfikowana przez zespół inżynierów ds. bezpieczeństwa Cisco jako CVE-2023-20238 i przyznano jej maksymalną ocenę CVSS na poziomie 10,0, co oznacza ryzyko krytyczne.
Wykorzystując tę lukę, cyberprzestępcy mogą wykonywać szereg nieautoryzowanych działań, takich jak wydawanie poleceń, dostęp do poufnych informacji, zmiany w ustawieniach użytkowników oraz oszustwa związane z opłatami.
Błąd ten dotyczy platform Cisco Application Delivery Platform i BroadWorks Xtended Services Platform, jeżeli na tych platformach działają jedne z następujących aplikacji:
- AuthenticationService
- BWCallCenter
- BWReceptionist
- CustomMediaFilesRetrieval
- ModeratorClientApp
- PublicECLQuery
- PublicReporting
- UCAPI
- Xsi-Actions
- Xsi-Events
- Xsi-MMTel
- Xsi-VTR
CVE-2023-20238 nie wpływa na inne komponenty platformy BroadWorks, oprócz wymienionych dwóch w powyższym komunikacie, dlatego użytkownicy innych produktów nie muszą podejmować żadnych dodatkowych działań.
Wykorzystanie tej luki wynika z metody walidacji tokenów SSO (single sign-on), czytamy w komunikacie dotyczącym bezpieczeństwa Cisco. Atakujący mogą wykorzystać tę lukę, autoryzując się w aplikacji przy użyciu sfałszowanych danych uwierzytelniających.
Zakres możliwości, które są dostępne dla atakującego po eksploatacji luki, zależy od poziomu uprawnień sfabrykowanego konta, przy czym najgorszym scenariuszem jest dostęp do konta “administratora”. Jednak jednym z warunków koniecznych do eksploatacji tej luki jest posiadanie ważnego identyfikatora użytkownika powiązanego z docelowym systemem Cisco BroadWorks. Ten warunek może ograniczyć liczbę potencjalnych atakujących, którzy mogą wykorzystać CVE-2023-20238, ale nie eliminuje problemu, więc ryzyko pozostaje poważne.
Cisco nie udostępniło żadnych alternatywnych rozwiązań dla tej luki, dlatego też zaleca się aktualizację do wersji AP.platform.23.0.1075.ap385341 dla użytkowników korzystających z gałęzi 23.0 oraz do wersji 2023.06_1.333 lub 2023.07_1.332 dla użytkowników edycji niezależnych od wersji wydania (RI).
CVE-2023-20238 wpływa również na użytkowników gałęzi 22.0, jednak Cisco nie wyda aktualizacji zabezpieczeń dla tej wersji, dlatego zaleca się użytkownikom starszej wersji przejście na wersję z rozwiązaniem problemu.
Obecnie nie zgłoszono przypadków aktywnego wykorzystania CVE-2023-20238 w środowisku produkcyjnym, ale administratorzy systemów powinni jak najszybciej zaktualizować oprogramowanie do najnowszej dostępnej wersji.
