Revelan vulnerabilidades críticas de seguridad en diferentes productos y servicios de Cisco
Cisco ha revelado que recientemente parcheó diferentes vulnerabilidades críticas en diferentes servicios y dispositivos de la empresa.
Por ejemplo: equipos de redes de nivel básico para PYMES podrían permitir ataques remotos diseñados para robar información, enviar malware e interrumpir las operaciones.
Cisco identificó y parcheó varias vulnerabilidades de seguridad de alta gravedad en sus Switches inteligentes de la serie 220. Las vulnerabilidades podrían permitir el secuestro de sesiones, la ejecución de código arbitrario, las secuencias de comandos entre sitios y la inyección de HTML.
También emitió soluciones para problemas de gravedad alta en el cliente de movilidad segura AnyConnect, Cisco DNA Center y Cisco Email Security Appliance. Además. emitió una gran cantidad de parches para vulnerabilidades de gravedad media en AnyConnect, Jabber, Meeting Server, Unified Intelligence Center y Webex.
Las vulnerabilidades de alta gravedad son las siguientes:
- CVE-2021-1566: Dispositivo de seguridad de correo electrónico de Cisco y Dispositivo de seguridad web de Cisco (vulnerabilidad de validación de certificados)
- CVE-2021-1134: Cisco DNA Center (vulnerabilidad de validación de certificados)
- CVE-2021-1541 hasta 1543; CVE-2021-1571. Switches inteligentes Cisco Small Business de la serie 220 (secuestro de sesión, ejecución de código arbitrario, secuencias de comandos entre sitios, inyección de HTML)
- CVE-2021-1567: Cisco AnyConnect Secure Mobility Client para Windows con módulo de VPN Posture (HostScan) (secuestro de DLL)
Vulnerabilidad grave
El problema más grave en este grupo de parches ha sido identificado como CVE-2021-1542, en los Switches inteligentes Cisco Small Business series 220. Estos son switches (conmutadores) de nivel de entrada que actúan como los bloques de construcción básicos para las redes de pequeñas y medianas empresas (PYMES). Son responsables de compartir recursos de red y conectar varios clientes, incluidas computadoras, impresoras y servidores, a la red y entre sí, junto con la seguridad, el control del rendimiento de la red y más.
El error está calificado con 7.5 en la escala de gravedad de vulnerabilidad CVSS de 10 puntos. Y, surge de una administración de sesión débil para la interfaz de administración web de los switches. Un atacante remoto no autenticado podría usarlo para evadir las protecciones de autenticación y obtener acceso no autorizado a la interfaz. El atacante podría entonces obtener los privilegios de la cuenta de sesión secuestrada, que podría incluir privilegios administrativos, y así realizar lo que desee en el conmutador.
“Esta vulnerabilidad se debe al uso de una gestión de sesión débil para los valores de los identificadores de sesión. Un atacante podría aprovechar esta vulnerabilidad mediante el uso de métodos de reconocimiento para determinar cómo crear un identificador de sesión válido. Un exploit exitoso podría permitir al atacante tomar acciones dentro de la interfaz de administración con privilegios hasta el nivel del usuario administrativo”.
Cisco
Múltiples parches para switches inteligentes
También hay muchas otras vulnerabilidades de seguridad en la misma interfaz de administración web. Por ejemplo, la vulnerabilidad identificada como CVE-2021-1541 es una vulnerabilidad de ejecución de código arbitrario. Esta permitiría a un atacante remoto autenticado ejecutar comandos arbitrarios como usuario root en el sistema operativo subyacente.
Esta vulnerabilidad se debe a la falta de validación de parámetros para los parámetros de configuración TFTP. Un atacante podría aprovechar esta vulnerabilidad ingresando una entrada diseñada para parámetros de configuración TFTP específicos. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios como usuario root en el sistema operativo subyacente.
El atacante debe tener credenciales administrativas válidas en el dispositivo para aprovechar el problema. Por lo tanto, la puntuación CVSS es de 7.2 en lugar de crítica.
Mientras tanto, la vulnerabilidad identificada como CVE-2021-1543 permite la creación de scripts entre sitios de un atacante remoto no autenticado (puntuación CVSS: 6.1).
La vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario en la interfaz de administración web del dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace malicioso y acceder a una página específica.
Un exploit exitoso podría permitir al atacante ejecutar código de secuencia de comandos arbitrarios en el contexto de la interfaz afectada. Este también podría acceder a información confidencial basada en el navegador y redirigir al usuario a una página arbitraria.
Ataque de inyección HTML
Y finalmente, CVE-2021-1571 (calificación 6.1 en CVSS) podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de inyección HTML.
En este caso, la vulnerabilidad se debe a comprobaciones inadecuadas de los valores de los parámetros en las páginas afectadas. Un potencial atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que siga un enlace creado que está diseñado para pasar código HTML a un parámetro afectado. Un exploit exitoso permitiría al atacante alterar el contenido de una página web para redirigir al usuario a sitios web potencialmente maliciosos.
Otros errores de seguridad de alta gravedad de Cisco
Los otros errores de alta gravedad que Cisco abordó recientemente incluyen la vulnerabilidad de validación de certificados (CVE-2021-1566) en Cisco Email Security Appliance (ESA). Y, la vulnerabilidad presente en Cisco Web Security Appliance (WSA). Las vulnerabilidades existen en la forma en que Cisco Advanced Malware Protection (AMP) para terminales integra Cisco AsyncOS.
Si se explota, la vulnerabilidad podría permitir que un atacante remoto no autenticado intercepte el tráfico entre un dispositivo afectado y los servidores AMP. La vulnerabilidad tiene una calificación de 7.4 en la escala de gravedad de errores CVSS de 10 puntos.
Específicamente, la vulnerabilidad se debe a una validación incorrecta del certificado cuando un dispositivo afectado establece conexiones TLS. Un atacante man-in-the-middle podría aprovechar esta vulnerabilidad enviando un paquete TLS diseñado a un dispositivo afectado. Un exploit exitoso permitiría al atacante falsificar un host confiable y luego extraer información confidencial o alterar ciertas solicitudes de API.
La vulnerabilidad (CVE-2021-1134) en Cisco DNA Center, un controlador de red y panel de administración, también tiene una calificación de 7.4. Existe en la función de integración Cisco Identity Services Engine (ISE) del software. Y, también podría permitir que un atacante remoto no autenticado obtenga acceso no autorizado a datos confidenciales.
En específico, la vulnerabilidad se debe a una validación incompleta del certificado X.509 utilizado al establecer una conexión entre DNA Center y un servidor ISE. Un atacante podría aprovechar esta vulnerabilidad proporcionando un certificado elaborado y luego podría interceptar las comunicaciones entre el ISE y el DNA Center.
Un exploit exitoso permitiría ver y alterar la información confidencial que el ISE mantiene sobre los clientes que están conectados a la red.
Secuestro de DLL
Y finalmente, Cisco también reveló una vulnerabilidad (CVE-2021-1567) en el mecanismo de carga de DLL de Cisco AnyConnect Secure Mobility Client para Windows. La vulnerabilidad podría permitir que un atacante local autenticado realice un ataque de secuestro de DLL.
Solo se puede explotar si el módulo VPN Posture (HostScan) está instalado en el cliente AnyConnect y tiene una calificación CVSS de 7.0. VPN Posture ayuda a recopilar información sobre qué sistema operativo, antivirus, antispyware y otro software instalado está presente en los hosts remotos. Y, realiza una evaluación del punto final al tiempo que permite una conexión a la VPN.
Esta vulnerabilidad se debe a una condición de carrera en el proceso de verificación de firmas para archivos DLL que se cargan en un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad enviando una serie de mensajes de comunicación entre procesos (IPC) diseñados al proceso AnyConnect. Un exploit exitoso permitiría ejecutar código arbitrario en el dispositivo afectado con privilegios de SYSTEM. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales válidas en el sistema Windows.
Parches de seguridad de Cisco de gravedad media
El gigante de las redes también abordó los siguientes problemas de gravedad media:
- CVE-2021-1524: API de Cisco Meeting Server (vulnerabilidad de denegación de servicio
- CVE-2021-1569 y CVE-2021-1570: Vulnerabilidades del software de cliente móvil y de escritorio de Cisco Jabber
- CVE-2021-1395: Centro de inteligencia unificado de Cisco (XSS reflejado)
- CVE-2021-1568: Cliente de movilidad segura Cisco AnyConnect para Windows (DoS)
- CVE-2021-1242: Cisco Jabber y Software Webex Client (manipulación de archivos compartidos)
Si deseas obtener más detalles sobre estas vulnerabilidades, la información sobre parches y versiones afectadas está disponible aquí.