Cisco heeft software-updates uitgebracht om een kritieke beveiligingsfout op te lossen die van invloed is op Meeting Management en waardoor een externe, geverifieerde aanvaller beheerdersrechten kan verkrijgen op gevoelige instanties.
De kwetsbaarheid, bijgehouden als CVE-2025-20156, heeft een CVSS-score van 9,9 uit 10,0. Het is beschreven als een privilege-escalatiefout in de REST API van Cisco Meeting Management.
“Deze kwetsbaarheid bestaat omdat de juiste autorisatie niet wordt afgedwongen voor REST API-gebruikers”, zei het bedrijf woensdag in een advies. “Een aanvaller kan misbruik maken van dit beveiligingslek door API-verzoeken naar een specifiek eindpunt te sturen.”
“Een succesvolle exploit zou de aanvaller in staat kunnen stellen om op beheerdersniveau controle te krijgen over edge-nodes die worden beheerd door Cisco Meeting Management.”
De grote netwerkapparatuur heeft Ben Leonard-Lagarde van Modux gecrediteerd voor het melden van de tekortkomingen in de beveiliging. Het is van invloed op de volgende versies van het product, ongeacht de apparaatconfiguratie:
- Cisco Meeting Management release versie 3.9 (gepatcht in 3.9.1)
- Cisco Meeting Management releaseversies 3.8 en eerder (migreren naar een vaste release_
- Cisco Meeting Management release versie 3.10 (niet kwetsbaar)
Cisco heeft ook patches uitgebracht om een Denial-of-Service (DoS)-fout in BroadWorks te verhelpen die voortkomt uit onjuiste geheugenverwerking voor bepaalde Session Initiation Protocol (SIP)-verzoeken (CVE-2025-20165, CVSS-score: 7,5). Het probleem is opgelost in versie RI.2024.11.
“Een aanvaller kan misbruik maken van dit beveiligingslek door een groot aantal SIP-verzoeken naar een getroffen systeem te sturen”, aldus het rapport.
“Een succesvolle exploit zou de aanvaller in staat kunnen stellen het geheugen uit te putten dat was toegewezen aan de Cisco BroadWorks-netwerkservers die SIP-verkeer afhandelen. Als er geen geheugen beschikbaar is, kunnen de netwerkservers niet langer inkomende verzoeken verwerken, wat resulteert in een DoS-conditie die handmatige handelingen vereist interventie om te herstellen.”
Een derde kwetsbaarheid die door Cisco is gepatcht is CVE-2025-20128 (CVSS-score: 5,3), een integer underflow-bug die invloed heeft op de Object Linking and Embedding 2 (OLE2)-decoderingsroutine van ClamAV en die ook kan resulteren in een DoS-conditie.
Het bedrijf, dat Google OSS-Fuzz erkende voor het melden van de fout, zei dat het op de hoogte is van het bestaan van een proof-of-concept (PoC) exploitcode, hoewel er geen bewijs is dat deze in het wild kwaadwillig is uitgebuit.
CISA en FBI beschrijven Ivanti-exploitketens
Het nieuws over de tekortkomingen van Cisco komt nu de cyberbeveiligings- en wetshandhavingsinstanties van de Amerikaanse overheid technische details hebben vrijgegeven van twee exploitketens die zijn bewapend door hackers van nationale staten om in september 2024 in te breken in de cloudservicetoepassingen van Ivanti.
De kwetsbaarheden in kwestie zijn als volgt:
Volgens de Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation (FBI) omvatten de aanvalsreeksen in één geval misbruik van CVE-2024-8963 in combinatie met CVE-2024-8190 en CVE-2024-9380. en CVE-2024-8963 en CVE-2024-9379 in de andere.
Het is vermeldenswaard dat de eerste exploitketen in oktober 2024 door Fortinet FortiGuard Labs werd onthuld. In ten minste één geval wordt aangenomen dat de bedreigingsactoren zijdelingse bewegingen hebben uitgevoerd nadat ze aanvankelijk voet aan de grond hadden gekregen.
Er is vastgesteld dat de tweede exploitketen CVE-2024-8963 in combinatie met CVE-2024-9379 gebruikt om toegang te krijgen tot het doelnetwerk, gevolgd door mislukte pogingen om webshells te implanteren voor persistentie.
“Bedreigingsactoren hebben de genoemde kwetsbaarheden aan elkaar gekoppeld om initiële toegang te krijgen, externe code-uitvoering (RCE) uit te voeren, inloggegevens te verkrijgen en webshells op slachtoffernetwerken te implanteren”, aldus de agentschappen. “Inloggegevens en gevoelige gegevens die zijn opgeslagen in de getroffen Ivanti-apparaten moeten als gecompromitteerd worden beschouwd.
