Cisco Smart Switches llenos de graves lagunas de seguridad - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Cisco Smart Switches llenos de graves lagunas de seguridad

Hola de nuevo. Te escribe Eduardo Arroyo y esta vez te voy a contar sobre Cisco Smart Switches llenos de graves lagunas de seguridad

Cisco Smart Switches llenos de graves lagunas de seguridad

Los equipos de redes introductorios para pymes podrían permitir ataques remotos diseñados para robar información, eliminar malware e interrumpir las operaciones.

Cisco ha informado y solucionado varias vulnerabilidades de seguridad de alta gravedad en sus conmutadores inteligentes Cisco Small Business 220 Series que podrían permitir el secuestro de sesiones, la ejecución de código arbitrario, las secuencias de comandos entre sitios y la inyección de HTML.

También lanzó correcciones para problemas de alta gravedad en el cliente de movilidad segura AnyConnect, Cisco DNA Center y Cisco Email Security Appliance, junto con una serie de parches para vulnerabilidades de gravedad media en AnyConnect, Jabber, Meeting Server, Unified Intelligence Center y Webex.

Los problemas de alta gravedad son los siguientes:

  • Dispositivo de seguridad de correo electrónico de Cisco y dispositivo de seguridad web de Cisco (vulnerabilidad de validación de certificados)
  • Cisco DNA Center (vulnerabilidad de validación de certificados)
  • Switches inteligentes Cisco Small Business de la serie 220 (secuestro de sesiones, ejecución de código arbitrario, secuencias de comandos entre sitios, inserción de HTML)
  • Cliente de movilidad segura Cisco AnyConnect para Windows con módulo de postura VPN (HostScan) (secuestro de DLL)

El problema más grave en este cultivo de parche está siendo monitoreado como CVE-2021-1542, en los conmutadores inteligentes Cisco Small Business de la serie 220. Se trata de conmutadores de nivel de entrada que sirven como bloques de construcción para redes empresariales pequeñas y medianas. Son responsables de compartir recursos de red y conectar varios clientes, incluidas computadoras, impresoras y servidores, a la red y entre sí, junto con la seguridad, la administración del rendimiento de la red y más.

El error califica 7.5 en la escala de gravedad de vulnerabilidad CVSS de 10 puntos y es el resultado de un manejo de sesión débil para la interfaz de administración basada en web de los conmutadores. Según la advertencia, un atacante remoto no autenticado podría usarlo para eludir las protecciones de autenticación y obtener acceso no autorizado a la interfaz. El atacante podría entonces obtener privilegios de cuenta de la sesión secuestrada, que podrían incluir privilegios administrativos, y así obtener carta blanca en el conmutador.

«Esta vulnerabilidad se debe al uso de un manejo de sesión débil para los valores del identificador de sesión», según Cisco. “Un atacante podría aprovechar esta vulnerabilidad mediante el uso de métodos de reconocimiento para determinar cómo crear un identificador de sesión válido. Un exploit exitoso podría permitir al atacante [to] realizar acciones dentro de la interfaz de administración con privilegios hasta el nivel de usuario administrador «.

Múltiples parches para interruptores inteligentes

También hay muchos otros agujeros de seguridad en la propia interfaz de administración web. Por ejemplo, el error detectado como CVE-2021-1541 es una vulnerabilidad de ejecución de código arbitrario que permitiría a un atacante remoto autenticado ejecutar comandos arbitrarios como root en el sistema operativo subyacente.

«Esta vulnerabilidad se debe a la falta de validación de parámetros para los parámetros de configuración TFTP», según Cisco. “Un atacante podría aprovechar esta vulnerabilidad ingresando una entrada preparada para parámetros de configuración TFTP específicos. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios como root en el sistema operativo subyacente «.

El atacante debe tener credenciales administrativas válidas en el dispositivo para aprovechar el problema, por lo que la puntuación CVSS es de 7,2 en lugar de crítica.

El problema se rastreó como CVE-2021-1543, mientras tanto, permite la creación de secuencias de comandos entre sitios de un atacante remoto no autenticado (puntuación CVSS: 6,1).

«Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario desde la interfaz de administración basada en web del dispositivo afectado», según Cisco. “Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de que haga clic en un enlace malicioso y vaya a una página específica. Un exploit exitoso podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador y redirigir al usuario a una página arbitraria «.

Y finalmente, CVE-2021-1571 (calificación 6.1 en la escala CVSS) podría permitir a un atacante remoto no autenticado realizar un ataque de inyección HTML.

«Esta vulnerabilidad se debe a comprobaciones inadecuadas de los valores de los parámetros en las páginas afectadas», según el aviso. “Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de que siga un enlace diseñado para pasar HTML a un parámetro afectado. Un exploit exitoso podría permitir al atacante alterar el contenido de una página web para redirigir al usuario a sitios web potencialmente maliciosos «.

Más agujeros de seguridad de alta gravedad de Cisco

Los otros errores de alta gravedad que enfrentó Cisco el miércoles incluyen la vulnerabilidad de validación de certificados (CVE-2021-1566) en Cisco Email Security Appliance (ESA) y Cisco Web Security Appliance (WSA). Existe en la forma en que Cisco Advanced Malware Protection (AMP) para terminales integra Cisco AsyncOS. Si se explota, el error podría permitir que un atacante remoto no autenticado intercepte el tráfico entre un dispositivo afectado y los servidores AMP. Califique 7.4 en la escala de gravedad de errores CVSS de 10 puntos.

«Esta vulnerabilidad se debe a una validación incorrecta del certificado cuando un dispositivo afectado establece conexiones TLS», según el aviso. “Un atacante podría aprovechar esta vulnerabilidad enviando un paquete TLS diseñado a un dispositivo afectado. Un exploit exitoso podría permitir al atacante falsificar un host confiable y luego extraer información confidencial o alterar ciertas solicitudes de API.

El bicho (CVE-2021-1134) en Cisco DNA Center, un controlador de red y panel de administración, también califica 7.4. Existe en la funcionalidad de integración del Cisco Identity Services Engine (ISE) del software y también podría permitir que un atacante y un usuario remoto no autenticado obtengan acceso no autorizado a datos confidenciales.

«La vulnerabilidad se debe a la validación incompleta del certificado X.509 utilizado para establecer una conexión entre DNA Center y un servidor ISE», según el aviso. “Un atacante podría aprovechar esta vulnerabilidad proporcionando un certificado preparado y luego podría interceptar las comunicaciones entre el ISE y el Centro de ADN. Un exploit exitoso podría permitir al atacante ver y modificar la información confidencial que el ISE tiene sobre los clientes conectados a la red.

Y finalmente, una vulnerabilidad (CVE-2021-1567) en el mecanismo de carga de DLL de Cisco AnyConnect Secure Mobility Client para Windows podría permitir que un atacante local autenticado realice un ataque de secuestro de DLL.

Solo se puede utilizar si el módulo VPN Posture (HostScan) está instalado en el cliente AnyConnect y tiene una clasificación CVSS de 7.0. VPN Posture ayuda a recopilar información sobre qué sistema operativo, antivirus, antispyware y otro software instalado está presente en los hosts remotos y realiza una evaluación del punto final al tiempo que permite una conexión a la VPN.

«Esta vulnerabilidad se debe a una condición de carrera en el proceso de verificación de firmas para archivos DLL cargados en un dispositivo afectado», según Cisco. “Un atacante podría aprovechar esta vulnerabilidad enviando una serie de mensajes de comunicación entre procesos (IPC) diseñados al proceso AnyConnect. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en el dispositivo afectado con privilegios de SISTEMA. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales válidas en el sistema Windows «.

Parche de seguridad de gravedad media de Cisco

El gigante de las redes también abordó lo siguiente problemas de gravedad media:

  • API de Cisco Meeting Server (vulnerabilidad de denegación de servicio
  • Vulnerabilidades del software de cliente móvil y de escritorio Cisco Jabber
  • Centro de inteligencia unificado de Cisco (XSS reflejado)
  • Cliente de movilidad segura Cisco AnyConnect para Windows (DoS)
  • Software de cliente Cisco Jabber y Webex (manipulación de archivos compartidos)

La información sobre la aplicación del parche y la versión afectada está disponible en cada uno de los avisos.

.

Deberías compartir en en tu Twitter y Facebook para que tus colegas lo consulten

??? ? ? ???

Comparte