Cabecera-v2-web.jpg

Múltiples vulnerabilidades de riesgo crítico y alto abordadas en productos de Cisco


Fecha: 18/11/2020

Recientemente fueron abordadas en actualizaciones de seguridad 23 vulnerabilidades que afectan a diversos productos de Cisco, de las cuales 4 han sido catalogadas como críticas, 6 de riesgo alto y 13 de riesgo medio. La explotación exitosa de estos fallos permitiría a un atacante obtener acceso a información confidencial, realizar ataques de denegación de servicios (DoS) y ejecutar comandos arbitrarios.

Productos Afectados:

  • Cisco Security Manager en versiones 4.22 y anteriores;
  • Cisco ASR 9000 Series Aggregation Services Routers ejecutando versiones de Cisco IOS XR Software anteriores a las versiones 6.7.2 o 7.1.2;
  • Cisco IoT Field Network Director (FND) en versiones anteriores a la 4.6.1;
  • Cisco DNA Spaces Connector software en versiones 2.2 y anteriores;
  • Los siguientes dispositivos, ejecutando la versión 4.1(1c)C de Cisco Integrated Management Controller (IMC):
    • 5000 Series Enterprise Network Compute System (ENCS) Platforms
    • UCS C-Series Rack Servers in standalone mode
    • UCS E-Series Servers
    • UCS S-Series Servers in standalone mode
  • Cisco Webex Meetings y Webex Meetings Server;
  • Cisco Telepresence CE Software en versiones 9.10 y 9.12; y Cisco RoomOS Software;
  • Cisco Expressway Series y Cisco TelePresence Video Communication Server (VCS) ejecutando versiones de software anteriores a la X12.6.3;
  • Cisco AsyncOS for Secure Web Appliance en versiones 10.5 y anteriores, 11.5, 11.7, 11.8, 12.0 y 12.5;

A continuación, se describen brevemente las vulnerabilidades descubiertas:

Fallo de riesgo crítico

El CVE-2020-3531 calificación de riesgo 9.8, trata de una vulnerabilidad de tipo Missing Authentication for Critical Function que afecta a la API REST de Cisco IoT FND en versiones anteriores a la 4.6.1; y se da debido a que el software afectado no autentica correctamente las llamadas a la API REST. Un atacante remoto no autenticado podría explotar exitosamente este fallo obteniendo el token Cross-site Request Forgery (CSRF) y utilizarlo con las solicitudes de API REST, permitiéndole acceder a la base de datos back-end del dispositivo afectado y leer, alterar o eliminar información.

El CVE-2020-3470 calificación de riesgo 9.8, trata de una vulnerabilidad de tipo Buffer Overflow que afecta al subsistema API de Cisco IMC; y se da debido a verificaciones de límites inadecuadas para entradas específicas proporcionadas por el usuario. La explotación exitosa permitirá a un atacante remoto no autenticado ejecutar código arbitrario con privilegios del usuario root en el sistema operativo subyacente.

El CVE-2020-3586 calificación de riesgo 9.4, trata de una vulnerabilidad de tipo OS Command Injection que afecta a la interfaz de administración web de Cisco DNA Spaces Connector en versiones 2.2 y anteriores; y se da debido a una validación insuficiente de los datos de entrada proporcionados por el usuario en la interfaz de administración. La explotación exitosa de este fallo permitiría a un atacante remoto no autenticado ejecutar comandos arbitrarios en el dispositivo afectado.

El CVE-2020-27130 calificación de riesgo 9.1, trata de una vulnerabilidad de tipo Path Traversal que afecta a Cisco Security Manager en versiones 4.21 y anteriores. Este fallo se da debido a una validación incorrecta de las secuencias de caracteres de Directory Traversal dentro de las solicitudes realizadas a un dispositivo afectado. Un atacante remoto no autenticado podría explotar este fallo enviando una solicitud maliciosa al dispositivo afectado, y de tener éxito descargar archivos arbitrarios con potencial información confidencial del dispositivo afectado.

Fallos de riesgo alto

El CVE-2020-26070, trata de una vulnerabilidad de tipo Improper Resource Shutdown or Release que afecta a la función de procesamiento de paquetes de salida del software Cisco IOS XR para los routers Cisco ASR 9000 Series Aggregation; y se da debido a una asignación inadecuada de recursos cuando un dispositivo afectado procesa el tráfico de red en el modo switching. La explotación exitosa de este fallo permitiría a un atacante remoto no autenticado hacer que el dispositivo afectado se quede sin recursos del búfer, provocando que dicho dispositivo no pueda procesar o reenviar el tráfico, resultando en una condición de denegación de servicios (DoS).

Cuando un dispositivo experimenta un agotamiento de los recursos del búfer, es posible que se vea el siguiente mensaje en los registros del sistema:

Por otro lado, múltiples vulnerabilidades del tipo Improper Input Validation identificadas con el CVE-2020-27131, que afectan a la función de deserialización de Java utilizada en Cisco Security Manager en versiones 4.22 y anteriores. Estos fallos se dan debido a una deserialización insegura de contenido proveído por el usuario. La explotación exitosa de estos fallos permitiría a un atacante remoto no autenticado ejecutar comandos arbitrarios en el dispositivo afectado con los privilegios de NT AUTHORITY/SYSTEM en el host de destino de Windows.

El CVE-2020-27125 afecta a Cisco Security Manager en versiones 4.21 y anteriores; y se da debido a una protección insuficiente de credenciales estáticas el software afectado. La explotación exitosa de este fallo permitiría a un atacante remoto no autenticado visualizar las credenciales estáticas, lo cual podría ser utilizado por el atacante para realizar posteriores ataques.

El CVE-2020-3367, trata de una vulnerabilidad de tipo OS Command Injection que afecta al subsistema de suscripción de registro de Cisco AsyncOS para Cisco Secure Web Appliance; y se da debido a una validación insuficiente de la entrada proporcionada por el usuario en la interfaz web y la interfaz de línea de comandos. La explotación exitosa de este fallo permitiría a un atacante local autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente y elevar los privilegios a root.

El CVE-2020-26072, trata de una vulnerabilidad de tipo Improper Access Control que afecta a la API SOAP de Cisco IoT FND en versiones anteriores a la 4.6.1; y se da debido a una autorización insuficiente en la API SOAP. La explotación exitosa de este fallo permitiría a un atacante remoto autenticado acceder y modificar información de dispositivos que pertenecen a un dominio diferente.

El CVE-2020-3392, trata de una vulnerabilidad de tipo Missing Authentication for Critical Function que afecta a la API de Cisco IoT FND en versiones anteriores a la 4.6.1; y se da debido a que el software afectado no autentica correctamente las llamadas a la API. La explotación exitosa de este fallo permitiría a un atacante remoto no autenticado obtener acceso a información confidencial en el sistema afectado, incluyendo información sobre los dispositivos que el sistema administra.

Pruebas de concepto (PoC) de la explotación de las vulnerabilidades que afectan a Cisco Security Manager fueron publicadas.

Fallos de riesgo medio

Vulnerabilidades de XSS (Cross-site Scripting) que permitirían a un atacante inyectar código malicioso en Cisco Webex Meetings (CVE-2020-27126) y Cisco IoT Field Network Director (CVE-2020-26081). Fallos que permitirían a un atacante obtener acceso a información potencialmente confidencial o útil para realizar posteriores ataques en Cisco Webex Meetings y Meetings Server (CVE-2020-3441) y Cisco Expressway Software (CVE-2020-26076, CVE-2020-3482).

Recomendaciones:

  • Actualizar los productos afectados a las siguientes versiones:
    • Cisco Security Manager a la versión 4.22 o posteriores, desde el siguiente enlace.
    • Cisco ASR 9000 Series Aggregation Services Routers, a las versiones de Cisco IOS XR Software 6.7.2 y posteriores; 7.1.2 y posteriores, desde el siguiente enlace.
    • Cisco IoT Field Network Director, a las versiones 4.6.1 o posteriores, desde el siguiente enlace.
    • Cisco DNA Spaces Connector, a las versiones 2.3 o posteriores, desde el siguiente enlace.
    • UCS C-Series Rack Servers in standalone mode, a las versiones de firmware 3.0(4r), 4.0(2n), 4.1(1g) o 4.0(4m), desde el siguiente enlace.
    • UCS S-Series Servers in standalone mode, a las versiones de firmware 3.0(4r), 4.0(4m) o 4.1(1g), desde el siguiente enlace.
    • 5000 Series ENCS Platforms, a las versiones 4.4.1 y posteriores del software Cisco NFVIS, desde el siguiente enlace.
    • Cisco UCS E-Series, a las versiones 3.2.11.3 y posteriores, desde el siguiente enlace.
    • Cisco AsyncOS for Secure Web Appliance, a las versiones 11.7.2-011, 11.8.2-009, 12.0.2 o 12.5.1-011, desde el siguiente enlace.
    • Cisco Telepresence CE Software, a las versiones 9.10.3 o 9.12.4, desde en el siguiente enlace.
    • Cisco TelePresence Video Communication Server (VCS), a la versión X12.6.3, desde el siguiente enlace.
    • Cisco Expressway Series, a la versión X12.6.3, desde el siguiente enlace
  • Para el caso de la vulnerabilidad identificada con el CVE-2020-27131, aún no se han lanzado parches de seguridad por parte de Cisco, sin embargo, se recomienda estar atento al aviso de seguridad oficial de Cisco.

Para más información sobre las vulnerabilidades abordadas, consulte la página oficial de Cisco.

Referencias:
pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11