Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidades en Cisco 2024

05 Sep 2024

Cisco lanza actualizaciones de seguridad de forma periódica para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas por Cisco durante este año. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad, por lo que es vital que todos los usuarios actualicen sus dispositivos periódicamente.

Tabla de contenidos

Vulnerabilidades en Cisco 5 de septiembre 2024

INTRODUCCIÓN

Cisco ha publicado un boletín que aborda múltiples vulnerabilidades en Cisco Smart Licensing Utility que podrían permitir a un atacante remoto no autenticado recopilar información confidencial o administrar los servicios de Cisco Smart Licensing Utility en un sistema mientras se ejecuta el software.

ANÁLISIS

CVE-2024-20439 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una vulnerabilidad en Cisco Smart Licensing Utility podría permitir a un atacante remoto no autenticado iniciar sesión en un sistema afectado mediante el uso de una credencial administrativa estática.

Esta vulnerabilidad se debe a una credencial de usuario estática no documentada para una cuenta administrativa. Un atacante podría aprovechar esta vulnerabilidad utilizando las credenciales estáticas para iniciar sesión en el sistema afectado. Una explotación exitosa podría permitir al atacante iniciar sesión en el sistema afectado con privilegios administrativos sobre la API de la aplicación Cisco Smart Licensing Utility.

CVE-2024-20440 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5:

Una vulnerabilidad en Cisco Smart Licensing Utility podría permitir que un atacante remoto no autenticado acceda a información confidencial.

Esta vulnerabilidad se debe a la verbosidad excesiva en un archivo de registro de depuración. Un atacante podría aprovecharse de esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Un ataque exitoso podría permitir al atacante obtener archivos de registro que contienen datos sensibles, incluyendo credenciales que pueden ser utilizadas para acceder a la API.

VERSIONES AFECTADAS

  • Cisco Smart License Utility versión   2.0.0

  • Cisco Smart License Utility versión   2.1.0

  • Cisco Smart License Utility versión   2.2.0

RECOMENDACIONES

Actualice a la versión 2.3.0 de Cisco Smart License Utility.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cslu-7gHMzWmw

https://nvd.nist.gov/vuln/detail/CVE-2024-20439 
https://nvd.nist.gov/vuln/detail/CVE-2024-20440

Vulnerabilidades en Cisco 18 de julio 2024

INTRODUCCIÓN

Cisco ha publicado diez boletines de seguridad entre los que se encuentran dos vulnerabilidades críticas que afectan a Cisco Secure Email Gateway y Cisco Smart Software Manager On-Prem.

ANÁLISIS

CVE-2024-20401 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una vulnerabilidad en las funciones de análisis de contenido y filtrado de mensajes de Cisco Secure Email Gateway podría permitir a un atacante remoto no autenticado sobrescribir archivos arbitrarios en el sistema operativo subyacente.

Esta vulnerabilidad se debe a un manejo inadecuado de los archivos adjuntos de correo electrónico cuando el análisis de archivos y los filtros de contenido están activados. Un atacante podría aprovechar esta vulnerabilidad enviando un correo electrónico que contenga un archivo adjunto manipulado a través de un dispositivo afectado. Un ataque exitoso podría permitir al atacante reemplazar cualquier archivo en el sistema de archivos subyacente. El atacante podría entonces realizar cualquiera de las siguientes acciones: añadir usuarios con privilegios de root, modificar la configuración del dispositivo, ejecutar código arbitrario o provocar una condición de denegación de servicio (DoS) permanente en el dispositivo afectado.

CVE-2024-20419 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10:

Una vulnerabilidad en el sistema de autenticación de Cisco Smart Software Manager On-Prem (SSM On-Prem) podría permitir a un atacante remoto no autenticado cambiar la contraseña de cualquier usuario, incluidos los usuarios administrativos.

Esta vulnerabilidad se debe a una implementación incorrecta del proceso de cambio de contraseña. Un atacante podría explotar esta vulnerabilidad enviando peticiones HTTP falsificadas a un dispositivo afectado. Un ataque exitoso podría permitir a un atacante acceder a la interfaz de usuario web o a la API con los privilegios del usuario afectado.

VERSIONES AFECTADAS

CVE-2024-20401 afecta a Cisco Secure Email Gateway si ejecuta una versión vulnerable de Cisco AsyncOS y se cumplen las dos condiciones siguientes:
 - La función de análisis de archivos, que forma parte de Cisco Advanced Malware Protection (AMP), o la función de filtro de contenidos está activada y asignada a una política de correo entrante.
 - La versión de Content Scanner Tools es anterior a 23.3.0.4823

CVE-2024-20419 afecta a Cisco SSM On-Prem y Cisco Smart Software Manager Satellite en las versiones 8-202206 y anteriores

RECOMENDACIONES

Actualice a las versiones 23.3.0.4823 y posteriores de Content Scanner Tools, incluidas por defecto en Cisco AsyncOS para las versiones 15.5.1-055 y posteriores de Cisco Secure Email Software.

Actualice a Cisco SSM On-Prem versión 8-202212

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-afw-bGG2UsjH 
https://nvd.nist.gov/vuln/detail/CVE-2024-20401 

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-auth-sLw3uhUy

https://nvd.nist.gov/vuln/detail/CVE-2024-20419

Vulnerabilidades en Cisco 23 de mayo 2024

INTRODUCCIÓN

Cisco ha publicado un aviso cubriendo múltiples vulnerabilidades, entre ellas la vulnerabilidad CVE-2024-20360, en la que se centra este aviso.

ANÁLISIS

CVE-2024-20360 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8:

Una vulnerabilidad en la interfaz de gestión basada en Web del software Cisco Firepower Management Center (FMC) podría permitir a un atacante remoto autenticado realizar ataques de inyección SQL en un sistema afectado.

Esta vulnerabilidad existe porque la interfaz de gestión basada en Web no valida adecuadamente la entrada del usuario. Un atacante podría aprovecharse de esta vulnerabilidad autenticándose en la aplicación y enviando consultas SQL a un sistema afectado. Un ataque exitoso podría permitir al atacante obtener cualquier dato de la base de datos, ejecutar comandos arbitrarios en el sistema operativo subyacente y elevar los privilegios a root. Para explotar esta vulnerabilidad, un atacante necesitaría al menos credenciales de usuario de sólo lectura.

Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen soluciones que solucionen esta vulnerabilidad.

VERSIONES AFECTADAS

  • Cisco Firepower Management Center 7.0.*

  • Cisco Firepower Management Center 7.1.*

  • Cisco Firepower Management Center 7.2.*

  • Cisco Firepower Management Center 7.3.*

RECOMENDACIONES

Actualice siguiendo las especificaciones indicadas en el aviso de seguridad de Cisco

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-sqli-WFFDnNOs 
https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-75298 
https://nvd.nist.gov/vuln/detail/CVE-2024-20360

Vulnerabilidades en Cisco 18 de abril 2024

INTRODUCCIÓN

Se detecta una vulnerabilidad que afecta a Cisco Integrated Management Controller (IMC) la cuál es fácil de explotar y se puede ejecutar de forma remota.

ANÁLISIS

CVE-2024-20356 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N - 8.7:

Vulnerabilidad en la interfaz de gestión basada en web de Cisco Integrated Management Controller (IMC) podría permitir a un atacante remoto autenticado con privilegios de nivel de administrador realizar ataques de inyección de comandos en un sistema afectado y elevar sus privilegios a root.
Esta vulnerabilidad se debe a la insuficiente validación de entrada de usuario. Un atacante podría aprovecharse de esta vulnerabilidad enviando comandos maliciosos a la interfaz de gestión basada en web del software afectado.

VERSIONES AFECTADAS

  • Cisco NFVIS (ENCS Serie 5000 y uCPE Edge Catalyst Serie 8300) versiones 4.13 y anteriores.

  • Cisco NFVIS (ENCS Serie 5000 y uCPE Edge Catalyst Serie 8300) versiones 3.12 y anteriores.

  • Cisco IMC (UCS C-Series M5 Rack Server) versiones 4.3, 4.2, 4.1, 4.0

  • Cisco IMC (UCS C-Series M6 Rack Server) versiones 4.3 y 4.2

  • Cisco IMC (UCS C-Series M7 Rack Server) version 4.3

  • Cisco IMC (UCS E-Series M2 and M3 Server) 3.2 y 3.1 y anteriores.

  • Cisco IMC (UCS E-Series M6 Server) version 4.12 y anteriores.

  • Cisco IMC (UCS S-Series Storage Server) versiones 4.3, 4.2, 4.1 y 4.0

RECOMENDACIONES

  • Cisco NFVIS (ENCS Serie 5000 y uCPE Edge Catalyst Serie 8300) actualizar a la versión 4.14.1 o migrar a una versión fija.

  • Cisco IMC (UCS C-Series M5 Rack Server) actualizar a la versión 4.3(2.240009), 4.2(3j), 4.1(3n) o migrar a una versión fija.

  • Cisco IMC (UCS C-Series M6 Rack Server) actualizar a la versión 4.3(3.240022), 4.3(2.240009), 4.2(3j).

  • Cisco IMC (UCS C-Series M7 Rack Server) actualizar a la versión 4.3(3.240022).

  • Cisco IMC (UCS E-Series M2 and M3 Server) actualizar a la versión 3.2.15.3 o migrar a una versión fija.

  • Cisco IMC (UCS E-Series M6 Server) actualizar a la versión 4.12.2.

  • Cisco IMC (UCS S-Series Storage Server) actualizar a la versión 4.3(3.240041), 4.3(2.240009), 4.2(3k), 4.1(3n) o migrar a una versión fija.

Cisco además menciona unas excepciones con otros dispositivos afectados, facilitando instrucciones para su remediación.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-bLuPcb
https://nvd.nist.gov/vuln/detail/CVE-2024-20356

Vulnerabilidades en Cisco 5 de abril 2024

INTRODUCCIÓN

Cisco a detectado vulnerabilidades que afectan a Cisco Nexus Dashboard. Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No existen soluciones alternativas que aborden estas vulnerabilidades.

ANÁLISIS

CVE-2024-20281 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H - 7.5:

Una vulnerabilidad en la interfaz de administración basada en web de Cisco Nexus Dashboard y los servicios alojados de Cisco Nexus Dashboard podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de falsificación de solicitud entre sitios (CSRF) en un sistema afectado.

Esta vulnerabilidad se debe a protecciones CSRF insuficientes para la interfaz de administración basada en web en un sistema afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace malicioso. Un exploit exitoso podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado. Si el usuario afectado tiene privilegios administrativos, estas acciones podrían incluir modificar la configuración del sistema y crear nuevas cuentas privilegiadas.

Nota: Existen mecanismos de seguridad internos que limitan el alcance de este exploit, lo que reduce la clasificación de impacto en la seguridad de esta vulnerabilidad.

CVE-2024-20348 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5:

Una vulnerabilidad en la función Plug and Play (PnP) fuera de banda (OOB) de Cisco Nexus Dashboard Fabric Controller (NDFC) podría permitir que un atacante remoto no autenticado lea archivos arbitrarios.
Esta vulnerabilidad se debe a un servidor web de aprovisionamiento no autenticado. Un atacante podría aprovechar esta vulnerabilidad mediante solicitudes web directas al servidor de aprovisionamiento. Un exploit exitoso podría permitir al atacante leer archivos confidenciales en el contenedor PnP, lo que podría facilitar futuros ataques a la infraestructura PnP.

VERSIONES AFECTADAS

CVE-2024-20281:

  • Cisco Nexus Dashboard versiones 3.1, 3.0, 2.3 y anteriores.

  • Cisco NDFC version 12.0.

  • Cisco NDI versiones 6.4, 6.3, 6.2 y anteriores.

  • Cisco NDO versiones 4.3, 4.2, 4.1 y anteriores.

CVE-2024-20348:

  • Cisco NDFC version 12.1.3

RECOMENDACIONES

CVE-2024-20281:

  • Actualice Cisco Nexus Dashboard a 3.1(1k) y en caso de la versión 3.0, 2.3 y anteriores migrar a una versión fija

  • Actualice Cisco NDFC a  12.2.1

  • Actualice Cisco NDI a la 6.4.1 y en caso de la versión 6.3, 6.2 y anteriores migrar a una versión fija

  • Actualice Cisco NDO a la 4.3(1.1008) y en caso de la versión 4.2, 4.1 y anteriores migrar a una versión fija

CVE-2024-20348:

  • Migrar Cisco NDFC a una versión fija no vulnerable como la 12.2.1, 12.1.2.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfccsrf-TEmZEfJ9 
https://nvd.nist.gov/vuln/detail/CVE-2024-20281 
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-dir-trav-SSn3AYDw 
https://nvd.nist.gov/vuln/detail/CVE-2024-20348 

Vulnerabilidades en Cisco 7 de marzo 2024

INTRODUCCIÓN

Se ha detectado una vulnerabilidad en el proceso de autenticación SAML de Cisco Secure Client que podría permitir a un atacante remoto no autenticado realizar un ataque de inyección de salto de línea de retorno de carro (CRLF) contra un usuario. La vulnerabilidad resulta de una validación insuficiente de la entrada del usuario durante una sesión VPN. Un atacante podría persuadir al usuario para que haga clic en un enlace manipulado, permitiéndole ejecutar código en el navegador y acceder a información confidencial, incluido un token SAML. Con este token, el atacante podría establecer una sesión VPN de acceso remoto con los privilegios del usuario afectado, aunque aún se necesitarían credenciales adicionales para acceder a hosts y servicios específicos detrás de la VPN.

ANÁLISIS

CVE-2024-20337 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N - 8.2:

Vulnerabilidad en el proceso de autenticación SAML de Cisco Secure Client, donde se podría realizar un ataque de inyección de salto de línea de retorno de carro (CRLF) contra un usuario.

VERSIONES AFECTADAS

Cisco Secure Client con la cabecera VPN  configurada con la función de navegador externo SAML. Afectando a versiones 4.10.04065 y posteriores, 5.0 y 5.1

Para determinar si la cabecera VPN está configurada para utilizar la función de navegador externo SAML, utilice el comando EXEC privilegiado show running-config Tunnel-group en el software Cisco Adaptive Security Appliance (ASA) o el software Cisco Firepower Threat Defense (FTD).

RECOMENDACIONES

Actualizar el software a las versiones 4.10.08025 o 5.1.2.42.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-secure-client-crlf-W43V4G7 
https://nvd.nist.gov/vuln/detail/CVE-2024-20337

Vulnerabilidades en Cisco 8 de febrero 2024

INTRODUCCIÓN

Cisco ha publicado varias nuevas vulnerabilidades críticas de falsificación de petición en sitios cruzados que afectan a la serie Expressway. Cisco ha publicado actualizaciones de software que solucionan estas vulnerabilidades. No existen soluciones temporales.

ANÁLISIS

CVE-2024-20252 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9.6:

Esta vulnerabilidad podría permitir a un atacante remoto no autenticado realizar ataques de falsificación de petición en sitios cruzados (CSRF), lo que podría permitir al atacante realizar acciones arbitrarias en un dispositivo afectado.

CVE-2024-20254 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9.6:

Esta vulnerabilidad podría permitir a un atacante remoto no autenticado realizar ataques de falsificación de petición en sitios cruzados (CSRF), lo que podría permitir al atacante realizar acciones arbitrarias en un dispositivo afectado.

Estas vulnerabilidades se deben a protecciones CSRF insuficientes para la interfaz de gestión basada en web de un sistema afectado. Un atacante podría explotar estas vulnerabilidades persuadiendo a un usuario de la API para que siga un enlace manipulado. Un exploit exitoso podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegios del usuario afectado. Si el usuario afectado tiene privilegios administrativos, estas acciones podrían incluir la modificación de la configuración del sistema y la creación de nuevas cuentas con privilegios.

VERSIONES AFECTADAS

La serie Cisco Expressway hace referencia a los dispositivos Cisco Expressway Control (Expressway-C) y Cisco Expressway Edge (Expressway-E).

Cisco Expressway Series versiones anteriores a la 14.0   
Cisco Expressway Series versión 14.0        
Cisco Expressway Series versión 15.0

RECOMENDACIONES

Actualice a la versión 14.3.4 de Cisco Expressway Series con el estado de xconfiguration Security CSRFProtection : "Activado".
Actualice a la versión 15.0.0 de Cisco Expressway Series con el estado xconfiguration Security CSRFProtection : "Activado".

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-KnnZDMj3 https://nvd.nist.gov/vuln/detail/CVE-2024-20252
https://nvd.nist.gov/vuln/detail/CVE-2024-20254

Artículos relacionados
Ver todas →
Alertas
Vulnerabilidad WordPress Plugin File Manager
Leer más →
Alertas
Vulnerabilidad crítica de VPN Pulse Secure
Leer más →
Alertas
INFRA:HALT. Múltiples vulnerabilidades en NicheStack
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día