Cisco corrige falha grave de escalamento de privilégios no Meeting Management (CVSS 9.9)

A Cisco lançou atualizações de software para corrigir uma grave falha de segurança que afeta o Meeting Management. A vulnerabilidade pode permitir que um hacker remoto e autenticado obtenha privilégios de administrador em instâncias vulneráveis.

Identificada como CVE-2025-20156, a falha recebeu uma pontuação CVSS de 9.9 em 10.0. Ela foi descrita como uma falha de escalonamento de privilégios na API REST do Cisco Meeting Management.

"Essa vulnerabilidade existe porque a autorização adequada não é aplicada para os usuários da API REST", informou a empresa em comunicado. "Um invasor pode explorar essa vulnerabilidade enviando solicitações de API para um endpoint específico."

Um ataque bem-sucedido pode permitir ao hacker obter controle de nível administrativo sobre os nós periféricos gerenciados pelo Cisco Meeting Management.

A Cisco reconheceu Ben Leonard-Lagarde, da Modux, por relatar a falha de segurança. Ela afeta as seguintes versões do produto, independentemente da configuração do dispositivo:

• Cisco Meeting Management versão 3.9 (corrigida na 3.9.1)

• Cisco Meeting Management versões 3.8 e anteriores (migrar para uma versão corrigida)

• Cisco Meeting Management versão 3.10 (não vulnerável).

Além disso, a Cisco lançou patches para mitigar uma falha de negação de serviço (DoS) que afeta o BroadWorks, causada pelo gerenciamento inadequado de memória em determinadas solicitações do Protocolo de Iniciação de Sessão (SIP). Identificada como CVE-2025-20165, essa vulnerabilidade possui uma pontuação CVSS de 7.5 e foi corrigida na versão RI.2024.11.

"Um invasor pode explorar essa vulnerabilidade enviando um grande número de solicitações SIP para um sistema afetado", explicou a Cisco. "Um ataque bem-sucedido pode exaurir a memória alocada aos servidores de rede do Cisco BroadWorks, impedindo o processamento de solicitações e resultando em uma condição de DoS que exige intervenção manual para recuperação."

Outra vulnerabilidade corrigida pela Cisco é a CVE-2025-20128 (CVSS 5.3), um erro de subtração de inteiros na rotina de descriptografia OLE2 do ClamAV, que também pode causar uma condição de DoS. A Cisco reconheceu o Google OSS-Fuzz por reportar a falha e confirmou a existência de um código de exploração proof-of-concept (PoC), embora não haja evidências de exploração ativa.

Exploração de Cadeias por Hackers em Serviços da Ivanti

A divulgação das falhas da Cisco ocorre enquanto as agências de segurança cibernética e aplicação da lei dos EUA, como CISA e FBI, publicaram detalhes técnicos de duas cadeias de exploração usadas por hackers patrocinados por Estados-nação para invadir aplicativos em nuvem da Ivanti em setembro de 2024.

As vulnerabilidades exploradas incluem:

• CVE-2024-8963: falha de bypass administrativo

• CVE-2024-9379: vulnerabilidade de injeção SQL

• CVE-2024-8190 e CVE-2024-9380: duas vulnerabilidades de execução remota de código

Segundo a CISA e o FBI, as sequências de ataque envolveram o abuso do CVE-2024-8963 em conjunto com outras falhas para obter acesso inicial, realizar movimentos laterais e tentar implantar web shells para persistência. Credenciais e dados armazenados nos dispositivos afetados pela Ivanti devem ser considerados comprometidos.

Via - THN