Cisco publica nuevas vulnerabilidades en sus productos

07 Octubre 2021
Alto

Cisco publicó 16 nuevos avisos de seguridad que contemplan un total de 23 vulnerabilidades, de las cuales 12 vulnerabilidades son clasificadas como Altas y 11 vulnerabilidades Medias. Las actualizaciones abordan distintos fallos que afectan a productos como Software Cisco ISE, Cisco AnyConnect, Cisco DNA Center, entre otros.

Severidad Alta

Vulnerabilidad de denegación de servicio en el servicio proxy de Cisco Web Security Appliance
CVE-2021-34698 

Debido a un manejo inapropiado en la administración de la memoria Vulnerabilidad en el servicio proxy de Cisco AsyncOS para WSA, podría permitir a un atacante remoto no autenticado agotar la memoria del sistema causando DoS en el dispositivo.

Vulnerabilidad de inyección de comandos en el dispositivo virtual Cisco Intersight
CVE-2021-34748

Una vulnerabilidad en el administrador web de Cisco Intersight Virtual Appliance podria permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios usando privilegios de Root.

Vulnerabilidades del protocolo de descubrimiento de la capa de enlace de los Smart Switches de la serie 220 de Cisco Small Business

  • CVE-2021-34775
  • CVE-2021-34776
  • CVE-2021-34777
  • CVE-2021-34778
  • CVE-2021-34779
  • CVE-2021-34780

Múltiples vulnerabilidades para Link Layer Discovery Protocol (LLDP) en dispositivos Cisco Small Business 220 series smart switches permiten a un usuario no autenticado dentro del mismo dominio de broadcast:

  •  Ejecutar código en el dispositivo pudiendo causar reinicios
  • Causar corrupción en base de datos LLDP

Vulnerabilidad de escalada de privilegios en el motor de Cisco Identity Services
CVE-2021-1594

Debido a una validación insuficiente en enradas para APi REST un atacante remoto no autenticado en posición “man in the middle” podía inyectar comandos que le permitan elevar privilegios a ROOT

Vulnerabilidades del software del adaptador telefónico analógico Cisco ATA serie 190

  • CVE-2021-34710
  • CVE-2021-34735

Múltiples vulnerabilidades en el software adaptador de telefonos analogos serie Cisco ATA 190 podría permitir la inyección de comandos resultando en ejecución de código remoto resultando en una denegación de servicio (DOS) en el dispositivo

Vulnerabilidad de secuestro de la biblioteca compartida del módulo Cisco AnyConnect Secure Mobility Client para Linux y Mac OS con VPN Posture (HostScan)
CVE-2021-34788

Se debe a un manejo inapropiado en el proceso de verificación de firmas para el software cliente de Cisco AnyConnect Mobility en sus versiones Linux y Mac OS, permitiendo a un atacante local autenticado realizar un secuestro “hijacking” de archivos de bibliotecas compartidas.

Severidad Media

Junto con las vulnerabilidades Altas descritas anteriormente, se publicaron las siguientes vulnerabilidades de severidad Media:

  • CVE-2021-34711 - Vulnerabilidad arbitraria de lectura de archivos del software del teléfono IP de Cisco
  • CVE-2021-34758 - Vulnerabilidad de denegación de servicio del software Cisco TelePresence Collaboration Endpoint y RoomOS
  • CVE-2021-34702 - Vulnerabilidad de divulgación de información confidencial de Cisco Identity Services Engine
  • CVE-2021-34782 - Vulnerabilidad de divulgación de información de Cisco DNA Center
  • CVE-2021-34766 - Vulnerabilidad de escalamiento de privilegios de Cisco Smart Software Manager
  • CVE-2021-34706 - Vulnerabilidad de inyección de entidad externa XML de Cisco Identity Services Engine
  • CVE-2021-1534 - Vulnerabilidad de omisión del filtrado de URL del dispositivo de seguridad del correo electrónico de Cisco
  • CVE-2021-34772 - Vulnerabilidad de redireccionamiento abierto de Cisco Orbital
  • CVE-2021-34742 - Vulnerabilidad reflejada de secuencias de comandos entre sitios del director de señalización dinámica de Cisco Vision
  • CVE-2021-34744 / CVE-2021-34757 - Vulnerabilidades de claves estáticas y contraseñas de los conmutadores inteligentes Cisco Business 220 Series

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Parche #Cisco #Vulnerabilidad #Cisco ISE #Cisco AnyConnect #Cisco Small Business


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.