Uma vulnerabilidade explorável remotamente no software Cisco Emergency Responder pode permitir que um invasor não autenticado faça login em um dispositivo afetado usando a conta root, de acordo com um aviso do fornecedor de tecnologia dos EUA.

A vulnerabilidade, rastreada como CVE-2023-20101, carrega uma pontuação de gravidade CVSS de 9,8/10 e uma etiqueta “crítica” da equipe de resposta de segurança da Cisco.

De Consultoria Cisco:

“Uma vulnerabilidade no Cisco Emergency Responder pode permitir que um invasor remoto não autenticado faça login em um dispositivo afetado usando a conta root, que possui credenciais estáticas padrão que não podem ser alteradas ou excluídas.”

“Esta vulnerabilidade se deve à presença de credenciais de usuário estáticas para a conta root que normalmente são reservadas para uso durante o desenvolvimento. Um invasor pode explorar essa vulnerabilidade usando a conta para fazer login em um sistema afetado. Uma exploração bem-sucedida pode permitir que o invasor faça login no sistema afetado e execute comandos arbitrários como usuário root.”

A Cisco disse que o defeito de segurança afeta apenas o Cisco Emergency Responder Release 12.5(1)SU4.

A empresa de San Jose, Califórnia, está pedindo aos usuários do Cisco Emergency Responder que apliquem imediatamente os patches disponíveis, alertando que não há soluções alternativas que resolvam esta vulnerabilidade.

O software Cisco Emergency Responder funciona em conjunto com o Cisco Unified Communications Manager para enviar chamadas de emergência para o ponto de atendimento de segurança pública (PSAP) apropriado para a localização do chamador.

Disponível nos mercados dos EUA e do Canadá, o software é usado para encaminhar chamadas de emergência para um ponto de atendimento de segurança pública local (PSAP), alertar o pessoal por e-mail ou telefone sobre uma chamada de emergência para responder localmente, manter registros de todas as chamadas de emergência e fornecer ao PSAP a geolocalização precisa do chamador necessitado.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.