Cisco publicó 16 nuevos avisos de seguridad que contemplan un total de 23 vulnerabilidades, de las cuales 12 vulnerabilidades son clasificadas como Altas y 11 vulnerabilidades Medias. Las actualizaciones abordan distintos fallos que afectan a productos como Software Cisco ISE, Cisco AnyConnect, Cisco DNA Center, entre otros.
Severidad Alta
Vulnerabilidad de denegación de servicio en el servicio proxy de Cisco Web Security Appliance
CVE-2021-34698
Debido a un manejo inapropiado en la administración de la memoria Vulnerabilidad en el servicio proxy de Cisco AsyncOS para WSA, podría permitir a un atacante remoto no autenticado agotar la memoria del sistema causando DoS en el dispositivo.
Vulnerabilidad de inyección de comandos en el dispositivo virtual Cisco Intersight
CVE-2021-34748
Una vulnerabilidad en el administrador web de Cisco Intersight Virtual Appliance podria permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios usando privilegios de Root.
Vulnerabilidades del protocolo de descubrimiento de la capa de enlace de los Smart Switches de la serie 220 de Cisco Small Business
Múltiples vulnerabilidades para Link Layer Discovery Protocol (LLDP) en dispositivos Cisco Small Business 220 series smart switches permiten a un usuario no autenticado dentro del mismo dominio de broadcast:
Vulnerabilidad de escalada de privilegios en el motor de Cisco Identity Services
CVE-2021-1594
Debido a una validación insuficiente en enradas para APi REST un atacante remoto no autenticado en posición “man in the middle” podía inyectar comandos que le permitan elevar privilegios a ROOT
Vulnerabilidades del software del adaptador telefónico analógico Cisco ATA serie 190
Múltiples vulnerabilidades en el software adaptador de telefonos analogos serie Cisco ATA 190 podría permitir la inyección de comandos resultando en ejecución de código remoto resultando en una denegación de servicio (DOS) en el dispositivo
Vulnerabilidad de secuestro de la biblioteca compartida del módulo Cisco AnyConnect Secure Mobility Client para Linux y Mac OS con VPN Posture (HostScan)
CVE-2021-34788
Se debe a un manejo inapropiado en el proceso de verificación de firmas para el software cliente de Cisco AnyConnect Mobility en sus versiones Linux y Mac OS, permitiendo a un atacante local autenticado realizar un secuestro “hijacking” de archivos de bibliotecas compartidas.
Severidad Media
Junto con las vulnerabilidades Altas descritas anteriormente, se publicaron las siguientes vulnerabilidades de severidad Media:
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
CVE-2021-34698
CVE-2021-34748
CVE-2021-34775
CVE-2021-34776
CVE-2021-34777
CVE-2021-34778
CVE-2021-34779
CVE-2021-34780
CVE-2021-1594
CVE-2021-34710
CVE-2021-34735
CVE-2021-34788
CVE-2021-34758
CVE-2021-34766
CVE-2021-34744
CVE-2021-34757
CVE-2021-34706
CVE-2021-34702
CVE-2021-34711
CVE-2021-1534
CVE-2021-34782
CVE-2021-34742
CVE-2021-34772
https://tools.cisco.com/security/center/pu... |
Producto | Versión |
---|---|
Cisco AsyncOS for Cisco WSA |
12.0 anterior a 12.0.3-005 12.5 anterior a 12.5.2-007 14.0 anterior a 14.0.1-014 |
Cisco Intersight Virtual Appliance |
1.0.9-150 a 1.0.9-292 |
Cisco Small Business 220 Series Smart Switches |
con firmware 1.2.0.6 y anteriores |
Cisco ISE en implementación distribuida |
2.4 2.6 anterior a 2.6 parche 10 2.7 anterior a 2.7 parche5 3.0 anterior a 3.1 |
ATA 190 (On-premises only) |
ejecutando una versión vulnerable del software serie Cisco ATA |
ATA 191 (On-premises or Multiplatform) |
ejecutando una versión vulnerable del software serie Cisco ATA |
ATA 192 (Multiplatform only) |
ejecutando una versión vulnerable del software serie Cisco ATA |
Cisco AnyConnect Secure Mobility Client for Linux and Mac OS |
Anterior al 4.10.03104 |
Cisco TelePresence CE Software |
anteriores a 10.7.2 |
Cisco RoomOS Software |
anterior a Septiembre 2021 Drop |
Cisco SSM On-Prem |
anterior a 8-202108 |
Cisco Business 220 Series Smart Switches |
anterior a 1.2.1.2 |
Cisco ISE (Identity Services Engine) |
anteriores a 3.1 |
Teléfono de conferencia IP 7832 |
anterior a 14 1 (1) |
Teléfono de conferencia IP 8832 |
anterior a 14 1 (1) |
Teléfono IP serie 7800 |
anterior a 14 1 (1) |
Teléfono IP serie 8800 |
anterior a 14 1 (1) |
Teléfono IP inalámbrico 8821 |
anteriores a 11 0 (6) Sr2 |
Cisco AsyncOS Software for Cisco ESA (Cisco Email Security Appliance) |
anteriores a 14.0.1. |
Cisco DNA Center |
2.2.2 y anteriores 2.2.3. anteriores a 2.2.3.3 |
Cisco Vision Dynamic Signage Director |
6.4 y anteriores |
Cisco Orbital |
cloud based |