A Cisco corrigiu uma falha crítica na interface Web do IOS XE Software, que podia levar a situações em que um atacante não autenticado e remotamente conseguia causar ataques de CSRF ou Cross Site Request Forgery.
Este problema era causado devido à falta de validação na interface gráfica, que permita ao atacante explorá-lo convencendo o utilizador a aceder a um link malicioso.
Desta forma, situações de CSRF permitem que atacantes consigam executar ações ou código de forma arbitrária com os privilégios do utilizador-alvo; caso esse utilizador tivesse privilégios de administrador, o atacante poderia executar comandos, restaurar o dispositivo e alterar a configuração do mesmo.
A falha é dada pelo CVE-2019-1904
Corrigir a falha
Os administradores devem desabilitar a funcionalidade do servidor HTTP. Para tal, podem executar o comando:
- no ip http server
Ou
- no ip http secure-server
Mais informações acerca da falha e fonte oficial: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf