Vulnerabilidades en Cisco 2024
Cisco lanza actualizaciones de seguridad de forma periódica para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.
A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas por Cisco durante este año. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad, por lo que es vital que todos los usuarios actualicen sus dispositivos periódicamente.
Tabla de contenidos
Vulnerabilidades en Cisco 18 de abril 2024
INTRODUCCIÓN
Se detecta una vulnerabilidad que afecta a Cisco Integrated Management Controller (IMC) la cuál es fácil de explotar y se puede ejecutar de forma remota.
ANÁLISIS
CVE-2024-20356 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N - 8.7:
Vulnerabilidad en la interfaz de gestión basada en web de Cisco Integrated Management Controller (IMC) podría permitir a un atacante remoto autenticado con privilegios de nivel de administrador realizar ataques de inyección de comandos en un sistema afectado y elevar sus privilegios a root.
Esta vulnerabilidad se debe a la insuficiente validación de entrada de usuario. Un atacante podría aprovecharse de esta vulnerabilidad enviando comandos maliciosos a la interfaz de gestión basada en web del software afectado.
VERSIONES AFECTADAS
- Cisco NFVIS (ENCS Serie 5000 y uCPE Edge Catalyst Serie 8300) versiones 4.13 y anteriores.
- Cisco NFVIS (ENCS Serie 5000 y uCPE Edge Catalyst Serie 8300) versiones 3.12 y anteriores.
- Cisco IMC (UCS C-Series M5 Rack Server) versiones 4.3, 4.2, 4.1, 4.0
- Cisco IMC (UCS C-Series M6 Rack Server) versiones 4.3 y 4.2
- Cisco IMC (UCS C-Series M7 Rack Server) version 4.3
- Cisco IMC (UCS E-Series M2 and M3 Server) 3.2 y 3.1 y anteriores.
- Cisco IMC (UCS E-Series M6 Server) version 4.12 y anteriores.
- Cisco IMC (UCS S-Series Storage Server) versiones 4.3, 4.2, 4.1 y 4.0
RECOMENDACIONES
- Cisco NFVIS (ENCS Serie 5000 y uCPE Edge Catalyst Serie 8300) actualizar a la versión 4.14.1 o migrar a una versión fija.
- Cisco IMC (UCS C-Series M5 Rack Server) actualizar a la versión 4.3(2.240009), 4.2(3j), 4.1(3n) o migrar a una versión fija.
- Cisco IMC (UCS C-Series M6 Rack Server) actualizar a la versión 4.3(3.240022), 4.3(2.240009), 4.2(3j).
- Cisco IMC (UCS C-Series M7 Rack Server) actualizar a la versión 4.3(3.240022).
- Cisco IMC (UCS E-Series M2 and M3 Server) actualizar a la versión 3.2.15.3 o migrar a una versión fija.
- Cisco IMC (UCS E-Series M6 Server) actualizar a la versión 4.12.2.
- Cisco IMC (UCS S-Series Storage Server) actualizar a la versión 4.3(3.240041), 4.3(2.240009), 4.2(3k), 4.1(3n) o migrar a una versión fija.
Cisco además menciona unas excepciones con otros dispositivos afectados, facilitando instrucciones para su remediación.
REFERENCIAS
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-bLuPcb
https://nvd.nist.gov/vuln/detail/CVE-2024-20356
Vulnerabilidades en Cisco 5 de abril 2024
INTRODUCCIÓN
Cisco a detectado vulnerabilidades que afectan a Cisco Nexus Dashboard. Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No existen soluciones alternativas que aborden estas vulnerabilidades.
ANÁLISIS
CVE-2024-20281 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H - 7.5:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Nexus Dashboard y los servicios alojados de Cisco Nexus Dashboard podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de falsificación de solicitud entre sitios (CSRF) en un sistema afectado.
Esta vulnerabilidad se debe a protecciones CSRF insuficientes para la interfaz de administración basada en web en un sistema afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace malicioso. Un exploit exitoso podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado. Si el usuario afectado tiene privilegios administrativos, estas acciones podrían incluir modificar la configuración del sistema y crear nuevas cuentas privilegiadas.
Nota: Existen mecanismos de seguridad internos que limitan el alcance de este exploit, lo que reduce la clasificación de impacto en la seguridad de esta vulnerabilidad.
CVE-2024-20348 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5:
Una vulnerabilidad en la función Plug and Play (PnP) fuera de banda (OOB) de Cisco Nexus Dashboard Fabric Controller (NDFC) podría permitir que un atacante remoto no autenticado lea archivos arbitrarios.
Esta vulnerabilidad se debe a un servidor web de aprovisionamiento no autenticado. Un atacante podría aprovechar esta vulnerabilidad mediante solicitudes web directas al servidor de aprovisionamiento. Un exploit exitoso podría permitir al atacante leer archivos confidenciales en el contenedor PnP, lo que podría facilitar futuros ataques a la infraestructura PnP.
VERSIONES AFECTADAS
CVE-2024-20281:
- Cisco Nexus Dashboard versiones 3.1, 3.0, 2.3 y anteriores.
- Cisco NDFC version 12.0.
- Cisco NDI versiones 6.4, 6.3, 6.2 y anteriores.
- Cisco NDO versiones 4.3, 4.2, 4.1 y anteriores.
CVE-2024-20348:
- Cisco NDFC version 12.1.3
RECOMENDACIONES
CVE-2024-20281:
- Actualice Cisco Nexus Dashboard a 3.1(1k) y en caso de la versión 3.0, 2.3 y anteriores migrar a una versión fija
- Actualice Cisco NDFC a 12.2.1
- Actualice Cisco NDI a la 6.4.1 y en caso de la versión 6.3, 6.2 y anteriores migrar a una versión fija
- Actualice Cisco NDO a la 4.3(1.1008) y en caso de la versión 4.2, 4.1 y anteriores migrar a una versión fija
CVE-2024-20348:
- Migrar Cisco NDFC a una versión fija no vulnerable como la 12.2.1, 12.1.2.
REFERENCIAS
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfccsrf-TEmZEfJ9
https://nvd.nist.gov/vuln/detail/CVE-2024-20281
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-dir-trav-SSn3AYDw
https://nvd.nist.gov/vuln/detail/CVE-2024-20348
Vulnerabilidades en Cisco 7 de marzo 2024
INTRODUCCIÓN
Se ha detectado una vulnerabilidad en el proceso de autenticación SAML de Cisco Secure Client que podría permitir a un atacante remoto no autenticado realizar un ataque de inyección de salto de línea de retorno de carro (CRLF) contra un usuario. La vulnerabilidad resulta de una validación insuficiente de la entrada del usuario durante una sesión VPN. Un atacante podría persuadir al usuario para que haga clic en un enlace manipulado, permitiéndole ejecutar código en el navegador y acceder a información confidencial, incluido un token SAML. Con este token, el atacante podría establecer una sesión VPN de acceso remoto con los privilegios del usuario afectado, aunque aún se necesitarían credenciales adicionales para acceder a hosts y servicios específicos detrás de la VPN.
ANÁLISIS
CVE-2024-20337 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N - 8.2:
Vulnerabilidad en el proceso de autenticación SAML de Cisco Secure Client, donde se podría realizar un ataque de inyección de salto de línea de retorno de carro (CRLF) contra un usuario.
VERSIONES AFECTADAS
Cisco Secure Client con la cabecera VPN configurada con la función de navegador externo SAML. Afectando a versiones 4.10.04065 y posteriores, 5.0 y 5.1
Para determinar si la cabecera VPN está configurada para utilizar la función de navegador externo SAML, utilice el comando EXEC privilegiado show running-config Tunnel-group en el software Cisco Adaptive Security Appliance (ASA) o el software Cisco Firepower Threat Defense (FTD).
RECOMENDACIONES
Actualizar el software a las versiones 4.10.08025 o 5.1.2.42.
REFERENCIAS
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-secure-client-crlf-W43V4G7
https://nvd.nist.gov/vuln/detail/CVE-2024-20337
Vulnerabilidades en Cisco 8 de febrero 2024
INTRODUCCIÓN
Cisco ha publicado varias nuevas vulnerabilidades críticas de falsificación de petición en sitios cruzados que afectan a la serie Expressway. Cisco ha publicado actualizaciones de software que solucionan estas vulnerabilidades. No existen soluciones temporales.
ANÁLISIS
CVE-2024-20252 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9.6:
Esta vulnerabilidad podría permitir a un atacante remoto no autenticado realizar ataques de falsificación de petición en sitios cruzados (CSRF), lo que podría permitir al atacante realizar acciones arbitrarias en un dispositivo afectado.
CVE-2024-20254 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9.6:
Esta vulnerabilidad podría permitir a un atacante remoto no autenticado realizar ataques de falsificación de petición en sitios cruzados (CSRF), lo que podría permitir al atacante realizar acciones arbitrarias en un dispositivo afectado.
Estas vulnerabilidades se deben a protecciones CSRF insuficientes para la interfaz de gestión basada en web de un sistema afectado. Un atacante podría explotar estas vulnerabilidades persuadiendo a un usuario de la API para que siga un enlace manipulado. Un exploit exitoso podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegios del usuario afectado. Si el usuario afectado tiene privilegios administrativos, estas acciones podrían incluir la modificación de la configuración del sistema y la creación de nuevas cuentas con privilegios.
VERSIONES AFECTADAS
La serie Cisco Expressway hace referencia a los dispositivos Cisco Expressway Control (Expressway-C) y Cisco Expressway Edge (Expressway-E).
Cisco Expressway Series versiones anteriores a la 14.0
Cisco Expressway Series versión 14.0
Cisco Expressway Series versión 15.0
RECOMENDACIONES
Actualice a la versión 14.3.4 de Cisco Expressway Series con el estado de xconfiguration Security CSRFProtection : "Activado".
Actualice a la versión 15.0.0 de Cisco Expressway Series con el estado xconfiguration Security CSRFProtection : "Activado".
REFERENCIAS
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-KnnZDMj3 https://nvd.nist.gov/vuln/detail/CVE-2024-20252
https://nvd.nist.gov/vuln/detail/CVE-2024-20254