A Cisco corrigiu várias vulnerabilidades em seus gateways de colaboração da série Expressway, sendo duas delas classificadas como de gravidade crítica e expondo dispositivos vulneráveis a ataques de falsificação de solicitação entre sites (CSRF).
Os atacantes podem explorar vulnerabilidades CSRF para enganar usuários autenticados a clicar em links maliciosos ou visitar páginas da web controladas pelo atacante para realizar ações indesejadas, como adicionar novas contas de usuário, executar código arbitrário, obter privilégios de administrador e mais.
Atacantes não autenticados podem explorar as duas vulnerabilidades críticas de CSRF corrigidas hoje (CVE-2024-20252 e CVE-2024-20254) para mirar gateways Expressway não atualizados remotamente. Um terceiro bug de segurança CSRF, rastreado como CVE-2024-20255, também pode ser usado para alterar a configuração de sistemas vulneráveis e desencadear condições de negação de serviço.
A empresa afirma que não lançará atualizações de segurança para o gateway Cisco TelePresence Video Communication Server (VCS) para abordar as três vulnerabilidades, pois ele alcançou a data de fim de suporte em 31 de dezembro de 2023.