Hoje, a CISA atualizou suas orientações abordando duas vulnerabilidades, CVE-2023-20198 e CVE-2023-20273, que afetam a interface de usuário da Web (UI) do software XE do Internetworking Operating System (IOS) da Cisco.
A orientação agora observa que a Cisco corrigiu essas vulnerabilidades para o trem de lançamento do software Cisco IOS XE 17.9 com a atualização 17.9.4a. De acordo com o Aviso de segurança da Cisco: Várias vulnerabilidades no recurso Web UI do software Cisco IOS XE, as correções ainda precisam ser determinadas para os seguintes trens de versão do software Cisco IOS XE: 17.6, 17.3, 16.12 (somente Catalyst 3650 e 3850). A CISA insta as organizações com o trem de lançamento do software Cisco IOS XE 17.9 a atualizarem imediatamente para a versão 17.9.4a.
A CISA insta as organizações a rever:
• Orientação atualizada da CISA
• Aviso de segurança da Cisco: Múltiplas vulnerabilidades no recurso Web UI do software Cisco IOS XE
Aviso sobre ameaças do Cisco Talos: Exploração ativa de vulnerabilidades da interface do usuário do Cisco IOS XE Software Web Management
A CISA adicionou CVE-2023-20198 e CVE-2023-20273 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, que, de acordo com a Diretiva Operacional Vinculante (BOD) 22-01: Redução do Risco Significativo de Vulnerabilidades Exploradas Conhecidas, exige que o Poder Executivo Civil Federal (FCEB ) agências para remediar vulnerabilidades identificadas até a data de vencimento especificada para proteger as redes FCEB contra ameaças ativas. Nota: O Aviso de Segurança da Cisco inicialmente apontou para outra vulnerabilidade como parte desta atividade. No entanto, conforme declarado no Cisco Talos Threat Advisory, a Cisco determinou desde então que a vulnerabilidade “CVE-2021-1435 que havia sido mencionada anteriormente não é mais avaliada como associada a esta atividade”.
Comentários