A ferramenta de segurança adaptativa da Cisco foi alvo de uma vulnerabilidade na funcionalidade de VPN SSL, informou a companhia nesta segunda-feira (29). De acordo com o texto divulgado em seu blog oficial, a falha permitia que um invasor remoto não autorizado reiniciasse o sistema no qual o software está instalado ou até mesmo executasse algum código, podendo chegar a obter o controle total do dispositivo.
Em suma, a falha deixava expostos os sistemas e dispositivos com suporte para redes virtuais privadas (VPNs) configurados com webVPN (VPN SSL sem clientes). O problema foi avaliado como crítico pela companhia e recebeu a pontuação máxima (10) na escala do Sistema de Pontuação de Vulnerabilidade Comum (CVSS, na sigla em inglês), padrão da indústria para avaliar falhas de segurança.
Uma rede VPN SSL sem clientes serve, por exemplo, para que funcionários se conectem à rede privada corporativa usando seus próprios equipamentos quando não estão em um escritório de sua companhia. A ideia desse tipo de ferramenta é justamente oferecer um sistema seguro para conexão, contudo, a falha subverte toda essa lógica.
A Cisco afirma não ter conhecimento de nenhum ataque que tenha explorado a brecha de segurança e garante ter resolvido o problema ao lançar uma atualização de software para correção. As informações detalhadas sobre o problema podem ser conferidas neste link.
Fontes
Categorias