Cisco, Fortinet y VMware han lanzado parches de seguridad para múltiples vulnerabilidades, incluyendo vulnerabilidades críticas que podrían ser explotadas para realizar acciones arbitrarias en dispositivos afectados.
Cisco ha reportado tres fallas identificadas como
-CVE-2024-20252 (puntuación CVSS: 9.6), CVE-2024-20254 (puntuación CVSS: 9.6) y
-CVE-2024-20255 (puntuación CVSS: 8.2), que podrían permitir a un atacante remoto no autenticado realizar ataques de falsificación de solicitudes entre sitios (CSRF).
Éstas vulnerabilidades, fueron halladas durante pruebas de seguridad internas, las mismas se originan a partir de la insuficiente protección contra técnicas de CSRF en la interfaz de gestión basada en web que podría permitir a un actor malicioso realizar acciones arbitrarias con el nivel de privilegio del usuario afectado a través de peticiones especialmente diseñadas.
Los productos afectados
-Cisco Expressway Series anteriores a 14.0 y 15.0
-Cisco TelePresence Video Communication Server (VCS) (End of Life diciembre 2023)
Impacto:
Si el usuario afectado cuenta con privilegios administrativos, a través de una petición especialmente diseñada, podría modificar la configuración del sistema y crear nuevas cuentas privilegiadas en el caso de las CVE-2024-20252 y CVE-2024-20254.
Por otro lado, la explotación exitosa de CVE-2024-20255 dirigida a un usuario con privilegios administrativos podría permitir al actor malicioso sobrescribir la configuración del sistema, lo que resultaría en una condición de denegación de servicio (DoS).
Recomendación:
Se recomienda actualizar los productos afectados, descargando desde la página web oficial de la marca.
Los parches para las vulnerabilidades están disponibles en las versiones de lanzamiento de la serie Cisco Expressway 14.3.4 y 15.0.0.
Por su parte, Fortinet ha lanzado una segunda ronda de actualizaciones para abordar lo que son bypasses para una falla crítica previamente divulgada identificada como CVE-2023-34992, (puntuación CVSS: 9.7) en FortiSIEM supervisor que podría resultar en la ejecución de código arbitrario.
Otras vulnerabilidades identificadas como CVE-2024-23108 y CVE-2024-23109 (puntuaciones CVSS: 9.8), podrían permitir a un atacante remoto no autenticado ejecutar comandos no autorizados a través de solicitudes de API manipuladas.
Productos afectados
Versiones de FortiSIEM supervisor
-Versión 7.1.2 o anterior, 7.2.0 o anterior, 7.0.3 o anterior, 6.7.9 o anterior, 6.6.5 o anterior, 6.5.3 o anterior, y 6.4.4 o anterior.
Impacto
Estas vulnerabilidades podrían permitir a un actor malicioso ejecutar código arbitrario en los dispositivos afectados.
Recomendación:
Se recomienda actualizar a las últimas versiones disponibles desde la página web oficial de la marca.
Así también está VMware, que ha reportado sobre cinco fallas de severidad moderada a grave en Aria Operations for Networks (anteriormente vRealize Network Insight):
Productos afectados:
-VMware Aria Operations for Networks version 6.x o anterior.
Impacto:
-CVE-2024-22237 (puntuación CVSS: 7.8) – Vulnerabilidad de escalada de privilegios local que permite a un usuario de consola obtener acceso como root
-CVE-2024-22238 (puntuación CVSS: 6.4) – Vulnerabilidad del tipo XSS que permitiría a un actor malintencionado con privilegios de administrador inyectar código malicioso en el menú de configuraciones del perfil de usuario
-CVE-2024-22239 (puntuación CVSS: 5.3) – Vulnerabilidad de escalada de privilegios local que permite a un usuario de consola obtener acceso regular a la shell
-CVE-2024-22240 (puntuación CVSS: 4.9) – Vulnerabilidad de lectura de archivos local que permite a un actor malintencionado con privilegios de administrador acceder a información sensible
-CVE-2024-22241 (puntuación CVSS: 4.3) – Vulnerabilidad de scripting entre sitios (XSS) que permite a un actor malintencionado con privilegios de administrador inyectar código malicioso y hacerse cargo de la cuenta del usuario
Recomendación
Para mitigar los riesgos, se recomienda a todos los usuarios de VMware Aria Operations for Networks versión 6.x que actualicen a la versión 6.12.0.
Referencia:
- https://thehackernews.com/2024/02/critical-patches-released-for-new-flaws.html
- https://nvd.nist.gov/vuln/detail/CVE-2024-20252
- https://www.cisco.com/c/en/us/products/collateral/unified-communications/telepresence-video-communication-server-vcs/eos-eol-notice-c51-743969.html
- https://www.fortiguard.com/psirt/FG-IR-23-130
- https://nvd.nist.gov/vuln/detail/CVE-2024-23109
- https://www.vmware.com/security/advisories/VMSA-2024-0002.html
- https://kb.vmware.com/s/article/96450