Múltiples vulnerabilidades en productos Cisco

Cisco ha lanzado actualizaciones de seguridad que subsanan múltiples vulnerabilidades en sus productos, que permitirían a un atacante realizar ejecución remota de código (RCE) en el dispositivo afectado con privilegios de root, condición de denegación de servicio (DoS), escalada de privilegios, entre otros.

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”, 2 (dos) de severidad “Alta” y 2 (dos) de severidad “Media”. Identificadas como CVE-2022-20754, CVE-2022-20755, CVE-2022-20756, CVE-2022-20762, CVE-2022-20665 y CVE-2022-20625. Las principales se detallan a continuación:

Para Cisco Expressway Series y Cisco TelePresence Video Communication Server (VCS):

CVE-2022-20754 de severidad crítica, con una puntuación de 9.0. Esta vulnerabilidad se debe a una validación insuficiente de entrada de los argumentos de comandos suministrados por el usuario en la API de la base de datos del clúster. Un atacante remoto podría aprovechar esta vulnerabilidad autenticándose en el sistema (con privilegios de lectura/escritura) para realizar ataques transversales de directorio y sobreescritura de archivos en el dispositivo afectado con privilegios de usuario ‎‎root.‎‎
CVE-2022-20755 de severidad crítica, con una puntuación de 9.0. Esta vulnerabilidad se debe a una validación de entrada insuficiente de los argumentos de comando proporcionados por el usuario en la interfaz de administración basada en web. Un atacante remoto podría aprovechar esta vulnerabilidad autenticándose en el sistema (con privilegios de lectura/escritura) para realizar ejecución remota de código (RCE) en el dispositivo afectado con privilegios de usuario root‎‎.

Para RADIUS de Cisco Identity Services Engine (ISE):

CVE-2022-20756 de severidad alta, con una puntuación de 8.6. Esta vulnerabilidad se debe a un manejo inadecuado de ciertas solicitudes RADIUS. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad enviando intentos de autenticación a una red o un servicio que utilice Cisco ISE como servidor RADIUS, para provocar una denegación de servicio (DoS).

Para ‎Cisco Ultra Cloud Core:

CVE-2022-20762 de severidad alta, con una puntuación de 7.8. Esta vulnerabilidad se debe a un control de acceso insuficiente en la CLI afectada. Un atacante local autenticado podría aprovechar esta vulnerabilidad autenticándose como usuario de la CLI ConfD del entorno de ejecución común (CEE) y ejecutando un comando de CLI específico, para acceder a contenedores con privilegios de root‎‎, obteniendo un escalamiento de privilegios en un dispositivo afectado.‎

Los productos de Cisco afectados son:

Cisco Expressway Series versión 14.0 y anteriores.
Cisco TelePresence Video Communication Server (VCS), versión 14.0 y anteriores.
Cisco Ultra Cloud Core SMI, versión 2020.02.2 – anteriores y ‎versión 2020.02.7 – anteriores.
Cisco ISE configurado con servicios de autenticación RADIUS, versión 3.1 y anteriores.

Se puede acceder al listado completo de las vulnerabilidades subsanadas aquí.

Recomendamos instalar las actualizaciones correspondientes provistas por Cisco en el siguiente enlace:

https://www.cisco.com/c/en/us/support/index.html

Para Cisco Expressway Series y Cisco TelePresence Video Communication Server (VCS) migrar a la versión 14.0.5:

https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/release_note/X14-0-5/exwy_b_cisco-expressway-release-note-x1405.html

Para Cisco Ultra Cloud Core SMI:

Recomendamos a los administradores reducir el alcance de esta vulnerabilidad impidiendo que los usuarios no administrativos ejecuten comandos de la CLI de ConfD CEE. Con credenciales administrativas, ejecutar los siguientes comandos:‎

config

nacm cmd-exec-default deny

nacm rule-list admin

group [ admin ]

cmdrule cmd-any-access

action permit

exit

commit

Referencias: