A Cisco lançou uma atualização de segurança para corrigir uma grave vulnerabilidade em seus pontos de acesso Ultra-Reliable Wireless Backhaul (URWB), que pode permitir que atacantes remotos não autenticados executem comandos com privilégios elevados.
Catalogada como CVE-2024-20418, essa falha recebeu a pontuação máxima de gravidade (10,0) no sistema CVSS, indicando um risco crítico. De acordo com o comunicado da Cisco, a vulnerabilidade resulta da falta de validação de entrada na interface de gerenciamento baseada em web do software Cisco Unified Industrial Wireless. Isso significa que um atacante pode explorar essa falha enviando requisições HTTP especialmente criadas para a interface de gerenciamento dos sistemas afetados.
Um ataque bem-sucedido poderia permitir ao invasor executar comandos arbitrários com privilégios de root no sistema operacional do dispositivo impactado. A Cisco destacou que apenas os produtos em modo URWB estão vulneráveis à CVE-2024-20418. Dispositivos que não operam nesse modo não são afetados pela falha.
A vulnerabilidade foi descoberta durante testes internos de segurança da empresa. A atualização que corrige essa falha foi disponibilizada na versão 17.15.1 do Cisco Unified Industrial Wireless Software. A empresa recomenda que usuários nas versões 17.14 e anteriores façam a migração para a versão corrigida o quanto antes.
