Nuevas vulnerabilidades en productos Cisco

22 Mayo 2024
Alto
Amenaza

Cisco ha publicado 6 avisos de seguridad que contemplan 6 vulnerabilidades. Estas se clasifican como 1 de severidad Alta y 5 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos de Cisco:

  • ASA
  • FMC
  • FTD
  • Entre otros

 

CVE-2023-20239 [CVSS: 8.8]
Vulnerabilidad de inyección SQL del software Cisco Firepower Management Center

Esta vulnerabilidad existe porque la interfaz de administración basada en web no valida adecuadamente la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad autenticándose en la aplicación y enviando consultas SQL diseñadas a un sistema afectado. Un exploit exitoso podría permitir al atacante obtener datos de la base de datos, ejecutar comandos arbitrarios en el sistema operativo subyacente y elevar privilegios a root . Para aprovechar esta vulnerabilidad, un atacante necesitaría al menos credenciales de usuario de sólo lectura.

 

CVE-2024-20293 [CVSS: 5.8]
Vulnerabilidad de omisión de ACL de inactivo a activo en Cisco Adaptive Security Appliance y Firepower Threat Defense Software

Esta vulnerabilidad se debe a un error lógico que ocurre cuando una ACL cambia de inactiva a activa en la configuración de la ejecución de un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad enviando tráfico a través del dispositivo afectado que la ACL configurada debería denegar. La condición inversa también es verdadera: la ACL configurada podría denegar el tráfico que debería permitirse. Un exploit exitoso podría permitir al atacante eludir las protecciones ACL configuradas en el dispositivo afectado, permitiéndole acceder a redes confiables que el dispositivo podría estar protegiendo.

Nota: Esta vulnerabilidad se aplica al tráfico IPv4 e IPv6, así como a configuraciones de ACL de doble pila en las que las ACL IPv4 e IPv6 están configuradas en una interfaz.

 

CVE-2024-20355 [CVSS: 5.0]
Vulnerabilidad de omisión de autorización del software Cisco Adaptive Security Appliance y Firepower Threat Defense

Esta vulnerabilidad se debe a una separación inadecuada de los dominios de autorización cuando se utiliza la autenticación SAML. Un atacante podría aprovechar esta vulnerabilidad utilizando credenciales válidas para autenticarse exitosamente usando su perfil de conexión designado (grupo de túneles), interceptando el token SAML SSO que se envía desde el dispositivo Cisco ASA y luego enviando el mismo token SAML SSO a un túnel diferente para la autenticación. Un exploit exitoso podría permitir al atacante establecer una sesión VPN de acceso remoto utilizando un perfil de conexión que no está autorizado a usar y conectarse a redes seguras detrás del dispositivo afectado a las que no está autorizado a acceder. Para una explotación exitosa, el atacante debe tener credenciales de usuario de VPN de acceso remoto válidas.

 

CVE-2024-20361 [CVSS: 5.8]
Vulnerabilidad de omisión de la lista de control de acceso del grupo de objetos del software Cisco Firepower Management Center

Esta vulnerabilidad se debe a la implementación incorrecta de la función grupos de objetos para ACL del software Cisco FMC en dispositivos FTD administrados en configuraciones de alta disponibilidad. Después de reiniciar un dispositivo afectado después de la implementación de grupos de objetos para ACL, un atacante puede aprovechar esta vulnerabilidad enviando tráfico a través del dispositivo afectado. Un exploit exitoso podría permitir al atacante eludir los controles de acceso configurados y enviar tráfico con éxito a los dispositivos que se espera que estén protegidos por el dispositivo afectado.

 

CVE-2024-20261 [CVSS: 5.8]
Vulnerabilidad de omisión de la política de archivos cifrados del software Cisco Firepower Threat Defense

Esta vulnerabilidad existe debido a un error lógico cuando se inspecciona una clase específica de archivos cifrados. Un atacante podría aprovechar esta vulnerabilidad enviando un archivo cifrado y manipulado a través del dispositivo afectado. Un exploit exitoso podría permitir al atacante enviar un archivo cifrado, que podría contener malware y debería haber sido bloqueado y colocado en el dispositivo FTD de Cisco.

 

CVE-2024-20363 [CVSS: 5.8]
Vulnerabilidad de omisión de reglas del sistema de prevención de intrusiones HTTP  en múltiples productos Cisco Snort 3

Esta vulnerabilidad se debe a un manejo incorrecto de paquetes HTTP. Un atacante podría aprovechar esta vulnerabilidad enviando paquetes HTTP manipulados a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante eludir las reglas IPS configuradas y permitir el ingreso de tráfico no inspeccionado a la red.

Mitigación

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:
Tags: #Vulnerabilidad #Parche #CVE-2023-20239 #CVE-2024-20293 #CVE-2024-20355 #CVE-2024-20361 #CVE-2024-20261 #CVE-2024-20363
Fuentes utilizadas
https://sec.cloudapps.cisco.com/security/c...
  • Productos Afectados
  • Producto Versión
    Cisco FMC si administra dispositivos Cisco FTD configurados para alta disponibilidad
    Software ASA 9.19.1 a 9.19.1.24
    9.20.1
    9.20.1.5
    Software FTD 7.3.0 a 7.4.0
    Productos cisco si ejecutan el software Cisco ASA o FTD y tienen una VPN de acceso remoto configurada con SAML 2.0 SSO.
    Snort 3.1.69.0
    1000 Series Integrated Services Routers (ISRs) si estaban ejecutando una versión vulnerable de Unified Threat Defense (UTD) Snort IPS Engine para el software Cisco IOS XE o UTD Engine para el software Cisco IOS XE SD-WAN
    4000 Series ISRs si estaban ejecutando una versión vulnerable de Unified Threat Defense (UTD) Snort IPS Engine para el software Cisco IOS XE o UTD Engine para el software Cisco IOS XE SD-WAN
    Catalyst 8000V Edge Software si estaban ejecutando una versión vulnerable de Unified Threat Defense (UTD) Snort IPS Engine para el software Cisco IOS XE o UTD Engine para el software Cisco IOS XE SD-WAN
    Catalyst 8200 Series Edge Platforms si estaban ejecutando una versión vulnerable de Unified Threat Defense (UTD) Snort IPS Engine para el software Cisco IOS XE o UTD Engine para el software Cisco IOS XE SD-WAN
    Catalyst 8300 Series Edge Platforms si estaban ejecutando una versión vulnerable de Unified Threat Defense (UTD) Snort IPS Engine para el software Cisco IOS XE o UTD Engine para el software Cisco IOS XE SD-WAN
    Catalyst 8500L Edge Platforms si estaban ejecutando una versión vulnerable de Unified Threat Defense (UTD) Snort IPS Engine para el software Cisco IOS XE o UTD Engine para el software Cisco IOS XE SD-WAN
    Cloud Services Routers 1000V si estaban ejecutando una versión vulnerable de Unified Threat Defense (UTD) Snort IPS Engine para el software Cisco IOS XE o UTD Engine para el software Cisco IOS XE SD-WAN
    Integrated Services Virtual Router (ISRv) si estaban ejecutando una versión vulnerable de Unified Threat Defense (UTD) Snort IPS Engine para el software Cisco IOS XE o UTD Engine para el software Cisco IOS XE SD-WAN
Enlaces Internos


© 2023 Entel Digital
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.