[l] Die Atlassian-Lücke die Tage war ja echt episch. Weiß nicht, ob ihr euch die Details angeschaut habt, aber das war im Wesentlichen ein Webrequest "Oi Digga gib mir mal nen Admin-Account". Auch die Details waren großartig. Man setzt da einen Header

X-Atlassian-Token: no-check

Besser noch: Das ist nicht etwa eine Hintertür sondern ein dokumentiertes Feature. Kannste dir gar nicht ausdenken.

Das hat nicht nur mich beeindruckt. Auch Cisco sah das und dachte ich: Hold my beer! Gammelige Web-Interfaces haben wir auch!

Ja gut. Streng genommen wird die CVSS-10-Lücke bei Cisco schon seit Wochen aktiv ausgenutzt. Aber das kennen Cisco-Kunden ja schon. All your base are belong to us.

The new CVE-2023-20198 vulnerability received the highest Common Vulnerability Scoring System (CVSS) score (10/critical). Successful exploitation would grant an attacker full administrator privileges, allowing them to effectively take full control of the affected router and allowing possible subsequent unauthorized activity.

Erfahrene Cisco-Admins haben das Web-UI eh gesperrt, mindestens in Richtung Internet. Aber eigentlich muss man sich ja schon die Frage stellen: Warum eigentlich? Wenn das so schlecht ist, dass es alle sperren müssen, wieso existiert das dann überhaupt?

Hier ist das Advisory. Money Quote:

Workarounds: No workarounds available

#fefebot #cisco