Cisco soluciona vulnerabilidades críticas con PoC (Parchea!)

Cisco ha revelado una falla de seguridad crítica que afecta su software Cisco Security Manager, junto con otras dos vulnerabilidades de gravedad alta en el producto. Cisco ha señalado que las tres vulnerabilidades de seguridad están corregidas en la versión 4.22 de Cisco Security Manager, que se lanzó la semana pasada.

Cisco Security Manager ayuda a los administradores a gestionar las políticas de seguridad en los dispositivos de seguridad de Cisco y a aprovisionar los dispositivos de firewall, VPN, Adaptive Security Appliance (ASA), FirePOWER y muchos otros conmutadores y routers de Cisco. 

El problema más grave abordado en la versión 4.22 es una vulnerabilidad de Path Traversal, rastreada como CVE-2020-27130, que podría permitir a un atacante remoto sin credenciales descargar archivos desde un dispositivo afectado. El problema, con una clasificación de gravedad de 9.1 sobre 10, afecta a las versiones 4.21 y anteriores de Cisco Security Manager. La compañía parece haber publicado el aviso después de que Florian Hauser (@frycos) de la firma de seguridad Code White, quien informó de los errores a Cisco, publicara exploits de prueba de concepto (PoC) para 12 vulnerabilidades que afectan a Cisco Security Manager.

Hauser dijo en un tweet que informó de 12 fallas que afectaban la interfaz web de Cisco Security Manager hace 120 días, el 13 de julio. Dice que decidió publicar las PoC porque Cisco no mencionó las vulnerabilidades en las notas de la versión 4.22 y no había publicado avisos. Según Cisco, "Varias vulnerabilidades de preautorización se enviaron a Cisco el 13 de julio de 2020 y se parchearon en la versión 4.22 el 10 de noviembre de 2020".

Las notas de la versión no indicaron nada sobre las vulnerabilidades y no se publicaron avisos de seguridad, pero entre ellas, se encuentran múltiples vulnerabilidades en la función de deserialización de Java de Cisco Security Manager, que podrían permitir que atacantes remotos sin credenciales ejecuten comandos de su elección en el dispositivo afectado.

Desafortunadamente, Cisco no ha solucionado estas vulnerabilidades de deserialización de Java en la versión 4.22, pero planea solucionarlas en la próxima versión 4.23. Cisco también dice que no hay soluciones alternativas y no ha enumerado ninguna mitigación que podría usarse hasta que llegue una solución. Estos problemas afectan las versiones 4.21 y anteriores y tienen una clasificación de gravedad de 8.1 sobre 10. Cisco emitió el identificador CVE-2020-27131 a los errores, que se deben a la deserialización insegura del contenido proporcionado por el usuario. "Un atacante podría aprovechar estas vulnerabilidades enviando un objeto Java serializado malicioso a un oyente específico en un sistema afectado. Un ataque exitoso podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo con los privilegios de NT AUTHORITY\SYSTEM en el host de destino de Windows ", Explica Cisco

Una tercera falla que afecta a las versiones 4.21 y anteriores de Cisco Security Manager, rastreada como CVE-2020-27125, puede permitir que un atacante vea credenciales estáticas insuficientemente protegidas en el software afectado. Las credenciales son visibles para un atacante que mira el código fuente. Este problema, con una clasificación de gravedad de 7.1, se solucionó en la versión 4.22.

El equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) dijo que está al tanto de los anuncios públicos sobre estas vulnerabilidades. Sin embargo, no tenía conocimiento de ningún uso malintencionado de los mismos.

Fuente: ZDNet 

Suscríbete a nuestro Boletín