CVE-2023-20238 è una vulnerabilità critica di bypass dell’autenticazione (CVSS 10.0) nella Application Delivery Platform e nella Xtended Services Platform di Cisco BroadWorks. Il difetto nasce da una validazione impropria dei token Single Sign-On (SSO), che consente ad attaccanti remoti non autenticati di forgiare credenziali e ottenere accesso non autorizzato. Lo sfruttamento può portare a frodi telefoniche, esecuzione non autorizzata di comandi e all’esposizione o modifica di dati sensibili.

Riassunto tecnico

La vulnerabilità deriva dal metodo utilizzato per convalidare i token SSO, consentendo agli attaccanti di autenticarsi mediante credenziali contraffatte. Uno sfruttamento riuscito potrebbe permettere a un attaccante di compiere frodi telefoniche o eseguire comandi con i privilegi associati all’account falsificato. Se l’account falsificato dispone di diritti amministrativi, l’attaccante potrebbe accedere a informazioni riservate, modificare le impostazioni dei clienti o alterare le configurazioni di altri utenti. Lo sfruttamento di questa vulnerabilità richiede un ID utente valido associato a un sistema Cisco BroadWorks vulnerabile.

Raccomandazioni

• Applicare l’Aggiornamento di Sicurezza Cisco: Effettuare l’upgrade alle versioni corrette fornite da Cisco per mitigare la vulnerabilità. Le principali versioni risolte includono:

• BroadWorks Application Delivery Platform: AP.platform.23.0.1075.ap385341

• Versioni Release Independent (RI): 2023.061.333 e 2023.071.332

• Per le versioni BroadWorks 22.0 e precedenti: Migrare a una release corretta come la versione 23.0.1075.ap385341.

• Revisionare e Monitorare i Log: Analizzare regolarmente i log di autenticazione alla ricerca di accessi anomali o tentativi di login non autorizzati.

• Implementare la Segmentazione di Rete: Isolare i sistemi BroadWorks da reti non affidabili per ridurre l’esposizione.

• Rimanere Informati: Monitorare costantemente gli avvisi di sicurezza di Cisco per ulteriori aggiornamenti o vulnerabilità correlate.