Cabecera-v2-web.jpg

Múltiples vulnerabilidades en productos de Cisco


21/01/2021

Cisco ha publicado una alerta de seguridad con 57 vulnerabilidades en múltiples productos, siendo 5 de riesgo crítico, 14 de riesgo alto, y 38 de riesgo medio, que podrí­an permitir a atacantes provocar condiciones de denegación de servicio (DoS), acceder a información sensible, ejecutar código arbitrario, Cross-Site Scriptings (XSS), elevar privilegios o evitar controles de seguridad, entre otros problemas de seguridad.

Productos afectados

  • Cisco SD-WAN
  • Cisco DNA Center
  • Cisco Smart Software Manager Satellite
  • Cisco DNA Center
  • Cisco Data Center Network Manager (DCNM)
  • Cisco Web Security Appliance (WSA)
  • Cisco Elastic Services Controller (ESC)
  • Cisco Email Security Appliance (ESA)
  • Cisco StarOS
  • Cisco Small Business RV110W, RV130, RV130W y RV215W
  • Cisco AnyConnect Secure Mobility Client
  • Cisco Connected Mobile Experiences (CMX)
  • Cisco Webex Teams
  • Cisco Proximity Desktop
  • Cisco Enterprise NFV (NFVIS)
  • Cisco Finesse
  • Cisco cámaras IP de la serie 8000 de vigilancia
  • Cisco Firepower Management Center (FMC)
  • Cisco Unified Communications Manager

A continuación se describen las vulnerabilidades consideradas de gravedad crítica, alta, media:

Vulnerabilidades de riesgo crítico

Los CVE-2021-1260, CVE-2021-1261 (calificación 8,1), que afecta a Cisco SD-WAN tienen una vulnerabilidad de desbordamiento del búfer. Podrían permitir a un atacante autenticado realizar ataques de inyección de comandos contra un dispositivo afectado, lo que podría permitirle al atacante realizar ciertas acciones con privilegios de root en el dispositivo.

Los CVE-2021-1300, CVE-2021-1301 (calificación 9,8), que afecta a Cisco SD-WAN, con múltiples vulnerabilidades de Buffer Overflow. Esto podría permitir que un atacante remoto no autenticado pueda ejecutar ataques contra un dispositivo afectado.

El CVE-2021-1264 (calificación 9,6), afecta a Cisco DNA Center Command Runner y tiene una vulnerabilidad de inyección de comandos. Un atacante podría aprovechar esta vulnerabilidad proporcionando una entrada diseñada durante la ejecución del comando o mediante una llamada a la API del ejecutor de comandos. Un exploit exitoso podría permitir al atacante ejecutar comandos CLI arbitrarios en dispositivos administrados por Cisco DNA Center.

Los CVE-2021-1138, CVE-2021-1139 (calificación 9,8), afecta a Cisco Smart Software Manager y tiene una vulnerabilidad de inyección de comandos de la interfaz de usuario web satelital. Un atacante podría aprovechar esta vulnerabilidad proporcionando una entrada diseñada durante la ejecución del comando o mediante una llamada a la API del ejecutor de comandos.

Los CVE-2020-26085, CVE-2020-27127 (calificación 9,9), afecta a los enrutadores Cisco Small Business RV110W, RV130, RV130W y RV215W, tiene varias vulnerabilidades en el servicio Universal Plug and Play (UPnP) y la interfaz de administración basada en web que podrían permitir a un atacante remoto ejecutar código arbitrario o hacer que un dispositivo afectado se reinicie inesperadamente.

Vulnerabilidades de riesgo alto

Los CVE-2021-1241, CVE-2021-1273 (calificación 8,6), que afecta a Cisco SD-WAN y posee múltiples vulnerabilidades que podrían permitir que un atacante remoto no autenticado ejecute ataques de denegación de servicio (DoS) contra un dispositivo afectado.

Los CVE-2021-1302, CVE-2021-1304 (calificación 8,8), que afecta a Cisco SD-WAN vManage con múltiples vulnerabilidades en la interfaz de administración basada en la web del software que podrían permitir que un atacante remoto autenticado eluda la autorización y modifique la configuración de un sistema afectado, obtenga acceso a información sensible y vea información para la que no está autorizado acceso.

El CVE-2021-1265 (calificación 7,7), que afecta a Cisco DNA Center con una vulnerabilidad de divulgación de información. Un atacante podría aprovechar esta vulnerabilidad si se autentica en el dispositivo y ejecuta una serie de llamadas a la API. Un exploit exitoso podría permitir al atacante recuperar las configuraciones en ejecución completamente desenmascaradas de los dispositivos administrados.

El CVE-2021-1257 (calificación 7,1), que afecta a Cisco DNA Center con una vulnerabilidad de falsificación de solicitudes entre sitios. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de administración basado en web para que siga un vínculo especialmente diseñado. Un exploit exitoso podría permitir al atacante realizar acciones arbitrarias en el dispositivo con los privilegios del usuario autenticado. Estas acciones incluyen modificar la configuración del dispositivo, desconectar la sesión del usuario y ejecutar comandos de Command Runner.

El CVE-2021-1272 (calificación 8,8), que afecta a Cisco Data Center Network Manager con una vulnerabilidad de falsificación de solicitudes del lado del servidor. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP diseñada a un usuario autenticado de la aplicación web DCNM. Un exploit exitoso podría permitir al atacante eludir los controles de acceso y obtener acceso no autorizado a la aplicación Device Manager, que proporciona acceso a los dispositivos de red administrados por el sistema.

Los CVE-2021-1247, CVE-2021-1248 (calificación 8,8), que afecta a Cisco Data Center Network Manager, con vulnerabilidades de inyección SQL. Podrían permitir que un atacante remoto autenticado ejecute comandos SQL arbitrarios en un dispositivo afectado.

Los CVE-2021-1276, CVE-2021-1277 (calificación 8,8), que afecta a Cisco Data Center Network Manager y tiene vulnerabilidades de validación de certificados que podrían permitir a un atacante falsificar un host confiable o construir un ataque man-in-the-middle para extraer información confidencial o alterar ciertas solicitudes de API. Estas vulnerabilidades se deben a una validación de certificados insuficiente al establecer solicitudes HTTPS con el dispositivo afectado.

El CVE-2021-1219 (calificación 7,8), que afecta a Cisco Smart Software Manager con la vulnerabilidad de credenciales estáticas satelitales. Un atacante podría aprovechar esta vulnerabilidad al obtener acceso a la credencial estática que está almacenada en el dispositivo local. Un exploit exitoso podría permitir al atacante ver credenciales estáticas, que el atacante podría usar para llevar a cabo más ataques.

El CVE-2021-1280 (calificación 7,8), que afecta a Cisco Advanced Malware Protection para endpoints e Immunet y tiene una vulnerabilidad de secuestro de DLL de Windows lo que permitiría a un atacante aprovechar esta vulnerabilidad colocando un archivo DLL malicioso en el sistema de destino. Este archivo se ejecutará cuando se inicie la aplicación vulnerable. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en el sistema objetivo con privilegios de SISTEMA.

El CVE-2020-3574 (calificación 7,5). que afecta a los paquetes TCP del teléfono IP de Ciscoy tiene una vulnerabilidad de denegación de servicio por inundación. Un atacante podría aprovecharla enviando una tasa alta y sostenida de tráfico TCP diseñado al dispositivo de destino. Un exploit exitoso podría permitir al atacante afectar las operaciones del teléfono o hacer que el teléfono se recargue, dando lugar a una condición de denegación de servicio (DoS).

El CVE-2021-1237 (calificación 7,8), afecta a de Cisco AnyConnect Secure Mobility Client para Windows y tiene una vulnerabilidad de inyección de DLL. Un atacante podría aprovechar esta vulnerabilidad insertando un archivo de configuración en una ruta específica en el sistema que, a su vez, hace que se cargue un archivo DLL malicioso cuando se inicia la aplicación. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en la máquina afectada con privilegios de SISTEMA.

Los CVE-2021-1146, CVE-2021-1147 (calificación 7,2), que afecta a Cisco Small Business RV110W, RV130, RV130W y RV215W, tienen vulnerabilidades de inyección de comandos de interfaz de administración de routers permitiría a un atacante aprovechar estas vulnerabilidades enviando solicitudes HTTP diseñadas a un dispositivo de destino. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente. Para aprovechar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en un dispositivo afectado.

El CVE-2021-1144 (calificación 8,8), que afecta a Cisco Connected Mobile Experiences, tienen una vulnerabilidad de escalamiento de privilegios. Un atacante autenticado sin privilegios administrativos podría aprovechar esta vulnerabilidad enviando una solicitud HTTP modificada a un dispositivo afectado. Un exploit exitoso podría permitir al atacante alterar las contraseñas de cualquier usuario en el sistema, incluido un usuario administrativo, y luego hacerse pasar por ese usuario.

El CVE-2019-15992 (calificación 7,2), que afecta a Cisco Adaptive Security Appliance y Firepower Threat Defense Software esta vulnerabilidad de ejecución remota de código del software con un exploit exitoso permitiría al atacante desencadenar una condición de desbordamiento del montón y ejecutar código arbitrario con privilegios de root en el sistema operativo Linux subyacente de un dispositivo afectado.

Vulnerabilidades de riesgo medio

  • CVE-2021-1271. Vulnerabilidad de secuencias de comandos entre sitios almacenadas en el dispositivo de seguridad web de Cisco, en Cisco AsyncOS para Cisco Web Security Appliance (WSA)
  • CVE-2021-1349. Vulnerabilidad de inyección de lenguaje de consulta cifrado de Cisco SD-WAN vManage.
  • CVE-2021-1225. Vulnerabilidades de inyección SQL de Cisco SD-WAN vManage
  • CVE-2021-1259. Vulnerabilidaden la interfaz de gestión basada en web Cisco SD-WAN vManage software.
  • CVE-2021-1350. Vulnerabilidad de inundación de paquetes de Cisco Umbrella Dashboard.
  • CVE-2021-1235. Vulnerabilidad de divulgación de información de Cisco SD-WAN vManage.
  • CVE-2021-1233. Vulnerabilidad de divulgación de información de Cisco SD-WAN
  • CVE-2021-1282, CVE-2021-1355. . Múltiples vulnerabilidades en Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P)
  • CVE-2021-1312. Vulnerabilidad de denegación de servicio de Cisco Elastic Services Controller.
  • CVE-2021-1129. Vulnerabilidad de divulgación de información en Cisco Email Security Appliance, Cisco Content Security Management Appliance y Cisco Web Security Appliance.
  • CVE-2021-1303. Vulnerabilidad de escalamiento de privilegios de Cisco DNA Center.
  • CVE-2021-1249, CVE-2021-1250. Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM)
  • CVE-2021-1283. Vulnerabilidad de divulgación de información de Cisco Data Center Network Manager.
  • CVE-2021-1269, CVE-2021-1270. Vulnerabilidades de omisión de autorización de Cisco Data Center Network Manager.
  • CVE-2021-1133, CVE-2021-1135. Vulnerabilidades de la API REST de Cisco Data Center Network Manager.
  • CVE-2021-1218. Vulnerabilidad de redireccionamiento abierto de Cisco Smart Software Manager Satellite.
  • CVE-2021-1222. Vulnerabilidad de inyección de SQL satelital de Cisco Smart Software Manager.
  • CVE-2021-1353. Vulnerabilidad de denegación de servicio de Cisco StarOS IPv4.
  • CVE-2020-25681, CVE-2020-25682. Múltiples vulnerabilidades en el reenviador de DNS dnsmasq que afectan a los productos de Cisco: enero de 2021.
  • CVE-2021-1151, CVE-2021-1152. Vulnerabilidades de secuencias de comandos entre sitios almacenadas en la interfaz de administración de enrutadores Cisco Small Business RV110W, RV130, RV130W y RV215W
  • CVE-2021-1242. Vulnerabilidad de manipulación de archivos compartidos de Cisco Webex Teams.
  • CVE-2021-1310. Vulnerabilidad de redireccionamiento abierto de Cisco Webex Meetings.
  • CVE-2021-1311. Vulnerabilidad de fuerza bruta de clave de host de Cisco Webex Meetings y Cisco Webex Meetings Server.
  • CVE-2021-1145. Cisco StarOS para la vulnerabilidad de lectura de archivos arbitrarios de los routers Cisco ASR serie 5000.
  • CVE-2021-1224. Afecta a Cisco Snort TCP Fast Open File con una vulnerabilidad de Policy Bypass
  • CVE-2021-1223. Varios productos Cisco Snort HTTP Detection Engine Evitan la vulnerabilidad de políticas de archivos del motor
  • CVE-2021-1236. Varios productos Cisco Snort Application Detection Engine con una vulnerabilidad de Policy Bypass
  • CVE-2021-1240. Vulnerabilidad de secuestro de DLL de Cisco Proximity Desktop para Windows.
  • CVE-2021-1127. Vulnerabilidad de secuencias de comandos entre sitios del software de infraestructura Cisco Enterprise NFV.
  • CVE-2021-1245, CVE-2021-1246. Vulnerabilidades del editor de gadgets de Cisco Finesse OpenSocial.
  • CVE-2021-1131. Cisco Video Surveillance Cámaras IP serie 8000 Vulnerabilidad de denegación de servicio del protocolo de descubrimiento de Cisco.
  • CVE-2021-1267. Vulnerabilidad de expansión de entidad XML de Cisco Firepower Management Center.
  • CVE-2021-1238, CVE-2021-1239. Vulnerabilidades de secuencias de comandos entre sitios almacenadas en Cisco Firepower Management Center.
  • CVE-2021-1126. Vulnerabilidad de divulgación de información de Cisco Firepower Management Center.
  • CVE-2021-1130. Vulnerabilidad de secuencias de comandos entre sitios de Cisco DNA Center.
  • CVE-2021-1226. Vulnerabilidad de divulgación de información de productos de Comunicaciones unificadas de Cisco.
  • CVE-2021-1143. Vulnerabilidad de enumeración de usuarios de Cisco Connected Mobile Experiences.
  • CVE-2021-1258. Vulnerabilidad de lectura de archivos arbitrarios de Cisco AnyConnect Secure Mobility Client.

Los routers Cisco Small Business RV110W, RV130, RV130W y RV215W han entrado en el proceso de finalización de su vida útil (EoL), por lo que Cisco no ha lanzado ni publicará actualizaciones de software para abordar las vulnerabilidades descritas para estos productos.

Recomendaciones de seguridad

  • Descargar y aplicar las actualizaciones de los productos afectados desde el panel de descarga de Software de Cisco.
  • Considerar la migración a los routers Cisco Small Business RV132W, RV160 o RV160W, y consultar periódicamente los avisos seguridad de los productos Cisco, que están disponibles en su sitio web oficial.
  • Consultar los avisos de final de vida útil de estos productos, en su sitio web oficial.

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11