Cisco ha publicado varios avisos de seguridad sobre fallas críticas en Cisco Security Manager (CSM) una semana después de que el fabricante de equipos de red lanzara discretamente parches con la versión 4.22 de la plataforma.
El desarrollo se produce después de que el investigador de Code White, Florian Hauser (frycos), revelara públicamente ayer un código de prueba de concepto (PoC) para hasta 12 vulnerabilidades de seguridad que afectan a la interfaz web de CSM eso hace posible que un atacante no autenticado logre ataques de ejecución remota de código (RCE).
Las fallas se informaron de manera responsable al Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Cisco hace tres meses, el 13 de julio.
«Dado que Cisco PSIRT dejó de responder y la versión 4.22 publicada todavía no menciona ninguna de las vulnerabilidades», freidoras reclamadas en un tweet, citando las razones para hacer públicos los PoC ayer.
Cisco Security Manager es una solución empresarial integral que permite a las organizaciones aplicar políticas de acceso y administrar y configurar firewalls y sistemas de prevención de intrusiones en una red.
La compañía lanzó la versión 4.22 de CSM el 9 de noviembre con una serie de mejoras de seguridad, incluida la compatibilidad con AnyConnect Web Security WSO junto con la desaprobación del algoritmo hash MD5 y los algoritmos de cifrado DES y 3DES.
Las vulnerabilidades permiten que un atacante elabore solicitudes maliciosas, así como también cargue y descargue archivos arbitrarios en el contexto de la cuenta de usuario con privilegios más altos «NT AUTHORITY SYSTEM», lo que le da acceso al adversario a todos los archivos en un directorio específico.
“La vulnerabilidad se debe a una validación incorrecta de las secuencias de caracteres transversales del directorio dentro de las solicitudes a un dispositivo afectado”, dijo Cisco en su aviso. «Un atacante podría explotar esta vulnerabilidad enviando una solicitud diseñada al dispositivo afectado. Una explotación exitosa podría permitir que el atacante descargue archivos arbitrarios del dispositivo afectado».
La falla tiene un puntaje CVSS de 9.1 sobre 10, lo que la hace crítica en gravedad.
Una falla separada (puntaje CVSS: 8.1) debido a una función de deserialización de Java insegura utilizada por CSM podría haber permitido que un atacante remoto no autenticado con privilegios del sistema ejecutara comandos arbitrarios en un dispositivo afectado.
Sin embargo, Cisco aún debe abordar la falla, con un conjunto de soluciones planificadas que se incluirán en Cisco Security Manager Release 4.23.
La compañía también dijo que está al tanto de los anuncios públicos sobre las vulnerabilidades y que hasta ahora no ha encontrado ninguna evidencia de que las fallas hayan sido explotadas en la naturaleza.
«El 16 de noviembre, Cisco publicó tres avisos de seguridad para las vulnerabilidades informadas en Cisco Security Manager (CSM). Los doce problemas informados se rastrean y abordan a través de cuatro ID de errores de Cisco. Cisco ha lanzado actualizaciones de software gratuitas que abordan las vulnerabilidades descritas en el CSM. el aviso de vulnerabilidad de ruta transversal y el aviso de vulnerabilidad de credencial estática de CSM «, dijo un portavoz de la compañía a The Hacker News.
«Cisco lanzará actualizaciones de software gratuitas lo antes posible que aborden las vulnerabilidades descritas en el aviso de vulnerabilidades de deserialización de Java de CSM. Pedimos a nuestros clientes que revisen los avisos para obtener todos los detalles. Cisco PSIRT no tiene conocimiento del uso malicioso de las vulnerabilidades que se descrito en los avisos».