Cisco publica nuevas actualizaciones para múltiples vulnerabilidades

19 Noviembre 2020
Crítico

Cisco anunció nuevas actualizaciones de software que abordan múltiples vulnerabilidades en distintos productos, incluidos errores que conducen al acceso no autorizado a las reuniones de Webex. Este es el segundo boletín de esta semana.

Cisco parcheó 19 vulnerabilidades, incluidas tres fallas críticas, tres de alta gravedad y 13 vulnerabilidades de riesgo medio.

Riesgo crítico

Las más importantes son CVE-2020-3470 (Puntuación CVSS: 9,8): Problema de ejecución remota de código en el subsistema API de Cisco Integrated Management Controller (IMC).

CVE-2020-3586 (Puntuación CVSS: 9,4): Ejecución de comandos arbitrarios en la interfaz de gestión basada en web de DNA Spaces Connector.

CVE-2020-3531 (Puntuación CVSS: 9,8): Acceso a la base de datos back-end de IoT Field Network Director (FND) (el error reside en la API REST).


Riesgo alto

Las fallas evaluadas con una clasificación de gravedad alta incluyen CVE-2020-3367: Inyección de comandos y escalada de privilegios en Secure Web Appliance (anteriormente Web Security Appliance); CVE-2020-26072: Autorización insuficiente en la API SOAP de IoT FND, que conduce al acceso y manipulación de la información; y CVE-2020-3392: Autenticación incorrecta de las llamadas a API en IoT FND, lo que conduce a la fuga de información.

Vulnerabilidad de Cisco Webex CVE-2020-344 ,  CVE-2020-3471 y  CVE-2020-3419

Identificadas por los investigadores de seguridad de IBM, las fallas de Webex podrían permitir a los atacantes unirse a reuniones como fantasmas (sin ser vistos por otros participantes), permanecer en la reunión como un fantasma después de ser expulsados ​​y acceder a información sobre los asistentes a la reunión (nombres, direcciones de correo electrónico e IP direcciones).

Registrado como CVE-2020-3419 , el primero de los problemas afecta tanto a Webex Meetings como a Webex Meetings Server y es el resultado de un "manejo inadecuado de los tokens de autenticación por parte de un sitio vulnerable de Webex".

Los sitios de Webex Meetings anteriores al 17 de noviembre de 2020 se ven afectados, explica Cisco. Webex Meetings 40.10.9 y versiones anteriores para iOS y Android también se ven afectadas, así como Webex Meetings Server 3.0MR Security Patch 4 y versiones anteriores y 4.0MR3 Security Patch 3 y versiones anteriores.

Cisco implementó parches para dicho error el 17 de noviembre. Dado que los sitios de Webex Meetings están basados ​​en la nube, no se requiere ninguna acción por parte del usuario.

La misma actualización también parchea CVE-2020-3441 y CVE-2020-3471, vulnerabilidades que podrían conducir a la divulgación de información confidencial desde el vestíbulo de la sala de reuniones o podrían permitir que un atacante mantenga audio bidireccional después de ser expulsado de una sesión de Webex, respectivamente.


Riesgo medio

Cisco también corrigió un error de generación de tokens no autorizados en Telepresence CE y RoomOS software, bypass de controles de seguridad en el software Expressway y múltiples problemas de riesgo medio en IoT FND, incluidos cross-site scripting (XSS), control de acceso inadecuado, divulgación de información, entrada insuficiente validación, credenciales de almacenamiento desprotegidas y sobrescritura de archivos.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Cisco #Parche #Webex #Meetings #Server


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.