Se han reportado nuevas vulnerabilidades en productos Cisco, 1 de severidad crítica y 5 de severidad alta. Estas vulnerabilidades podrían permitir a un actor malicioso remoto causar condiciones DoS, ejecutar código arbitrario, modificar privilegios o inyectar comandos.
Productos afectados
- Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway con Meraki MX Firmware versión 16.2 y posteriores.
- Cisco Data Center Network Manager con Cisco Nexus Dashboard Fabric Controller (NDFC) versión 12.0 y posteriores.
- Cisco Small Business RV Series – Routers RV340 Dual WAN Gigabit VPN Routers, RV340W Dual WAN Gigabit Wireless-AC VPN Routers, RV345 Dual WAN Gigabit VPN Routers y RV345P Dual WAN Gigabit PoE VPN Routers.
Impacto
La vulnerabilidad de severidad crítica se identifica como:
CVE-2024-20432: Puntuación CVSS 9.9. Una vulnerabilidad en el REST API y Web UI del componente Cisco Nexus Dashboard Fabric Controller (NDFC) del producto Cisco Data Center Network Manager permitiría a un actor malicioso remoto autenticado y de bajos privilegios realizar un ataque de inyección de comandos contra un equipo afectado, debido a una inadecuada autorización de usuarios e insuficiente validación de argumentos de comando.
Las vulnerabilidades de severidad alta se identifican como:
CVE-2024-20498: Puntuación CVSS 8.6. Una inadecuada validación de parámetros enviados por el cliente en el server AnyConnect VPN de Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podría permitir a un actor malicioso causar una condición DoS (Denial of Service) en el servicio AnyConnect.
CVE-2024-20499: Puntuación CVSS 8.6. Una inadecuada validación de parámetros enviados por el cliente en el server AnyConnect VPN de Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podría permitir a un actor malicioso causar una condición DoS (Denial of Service) en el servicio AnyConnect.
CVE-2024-20501: Puntuación CVSS 8.6. Una inadecuada validación de parámetros enviados por el cliente en el server AnyConnect VPN de Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podría permitir a un actor malicioso causar una condición DoS (Denial of Service) en el servicio AnyConnect.
CVE-2024-20449: Puntuación CVSS 8.8. Una vulnerabilidad en el componente Cisco Nexus Dashboard Fabric Controller (NDFC) del producto Cisco Data Center Network Manager podría permitir a un actor malicioso remoto autenticado de bajos privilegios ejecutar código arbitrario en un equipo afectado, debido a una incorrecta validación de rutas.
CVE-2024-20393: Puntuación CVSS 8.8. Una vulnerabilidad en la interfaz web de gestión en Cisco Small Business RV permitiría a un actor malicioso remoto autenticado aumentar sus privilegios, pudiendo pasar de invitado a administrador, debido a una exposición de información sensible en la interfaz web.
Recomendaciones
Actualizar los productos a una versión donde las vulnerabilidades hayan sido corregidas:
- Cisco Meraki MX y Cisco Meraki Z Series: actualizar a Meraki MX firmware versión 18.211.2 o posteriores.
- Cisco Data Center Network Manager: actualizar Cisco NDFC a la versión 12.2.2 o posteriores.
- Cisco Small Business RV: RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers han alcanzado el final del soporte por Cisco. Migrar a versiones cuyo soporte siga siendo proveído por Cisco.
Referencias
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-cmdinj-UvYZrKfr