Cabecera-v2-web.jpg

Vulnerabilidades de riesgo crítico, alto y medio afectan a productos de Cisco



Cisco ha publicado un aviso de seguridad donde informa de actualizaciones de seguridad que abordan 25 vulnerabilidades que afectan a varios productos. Entre ellas se ha catalogado a 1 como crítica, 3 de riesgo alto y 21 de riesgo medio. Atacantes podrían explotar estos fallos para escalar privilegios, ejecutar código, realizar ataques de denegación de servicios (DoS) u obtener información potencialmente útil para realizar otros ataques.

Productos afectados por las vulnerabilidades de riesgo critico y alto:

  • Cisco ENCS 5400-W Series y CSP 5000-W Series, ejecutando Cisco vWAAS con NFVIS-bundled en versiones 6.4.5 o 6.4.3d y anteriores;
  • Cisco Smart Software Manager On-Prem (SSM On-Prem) en versiones anteriores a 8-202004 y
  • Cisco Video Surveillance 8000 Series IP Cameras con versiones de firmware anteriores a 1.0.9-4.

A continuación se detallan brevemente las vulnerabilidades de riesgo crítico y alto:

El CVE-2020-3446 de riesgo crítico, trata de una vulnerabilidad del tipo Use of Hard-coded Credentials la cual afecta a los dispositivos Cisco ENCS 5400-W Series y CSP 5000-W Series que ejecutan Cisco vWAAS con NFVIS-bundled; y se da debido a que el software tiene cuentas de usuario con contraseñas estáticas y por defecto. La explotación exitosa de este fallo permitiría a un atacante remoto acceder a la interfaz de comandos de NFVIS con privilegios de administrador.

Por otro lado, el CVE-2020-3443 de riesgo alto trata de una vulnerabilidad de escalamiento de privilegios la cual afecta a Cisco Smart Software Manager On-Prem (SSM On-Prem); y se da debido a una autorización insuficiente de las capacidades del rol System Operator. Un atacante remoto podría explotar esta vulnerabilidad iniciando sesión con el rol de System Operator y luego a partir de ciertas acciones no especificadas asumir un nuevo rol con privilegios elevados, si este nuevo rol asumido es el de administrador el atacante podría obtener acceso completo al dispositivo afectado.

Finalmente los CVE-2020-3506 y CVE-2020-3507, también de riesgo alto, tratan de vulnerabilidades del tipo Improper Input Validation que afectan a la implementación del protocolo Cisco Discovery de los dispositivos Cisco Video Surveillance 8000 Series IP Cameras; y se dan debido a una falta de validación cuando las cámaras IP procesan los paquetes del protocolo Cisco Discovery. La explotación exitosa de este fallo permitiría a un atacante adyacente a la red no autenticado ejecutar código o realizar ataques de denegación de servicios (DoS) en el dispositivo afectado.

Además, fueron abordadas vulnerabilidades de riesgo medio que afectan a los productos:

  • Cisco Webex Meetings Desktop App para Windows en versiones anteriores a la 40.8,
  • Cisco Vision Dynamic Signage Director en versiones anteriores a la 6.2 SP5,
  • Cisco Small Business Smart y Managed Switches con versiones de firmware 2.5.5.47 y anteriores,
  • Cisco DNA Center en todas sus versiones,
  • Cisco Data Center Network Manager en versiones anteriores a la 11.4(1),
  • Cisco Connected Mobile Experiences en versiones 10.6.0, 10.6.1 y 10.6.2,
  • Cisco Hyperflex HX-Series Software en versiones 4.0(2a) y anteriores.

Algunas de las más resaltantes, son:

Múltiples vulnerabilidades de XSS (Cross-site Scripting) en Cisco Data Center Network Manager (CVE-2020-3439, CVE-2020-3518, CVE-2020-3523) y Cisco Vision Dynamic Signage Director (CVE-2020-3491, CVE-2020-3485) que permitirían a un atacante remoto inyectar código malicioso en el navegador de la víctima. Una vulnerabilidad de sobreescritura de archivos arbitrarios en Cisco Webex Meetings Desktop para Windows (CVE-2020-3440) que permitiría a un atacante remoto corromper archivos críticos del sistema, vulnerabilidades de divulgación de información en Cisco Data Center Network Manager (CVE-2020-3520) y Cisco Vision Dynamic Signage Director (CVE-2020-3484), y una vulnerabilidad de denegación de servicios (DoS) en los switches Cisco Small Business Smart y Managed.

Recomendaciones:

  • Actualizar los productos afectados desde la página oficial de Cisco, a las siguientes versiones:
    • Cisco vWAAS a las versiones 6.4.3e, 6.4.5a o posteriores, desde el siguiente enlace.
    • Cisco Smart Software Manager On-Prem (SSM On-Prem), a las versiones 8-202004 o posteriores, desde el siguiente enlace.
    • Cisco Video Surveillance 8000 Series IP Camera, a las versiones de firmware 1.0.9-4 y posteriores, desde el siguiente enlace.
    • Cisco Webex Meetings Desktop para Windows, a las versiones 40.8 o posteriores, desde el siguiente enlace.
    • Cisco Vision Dynamic Signage Director, a las versiones 6.2 SP5 o posteriores, desde el siguiente enlace.
    • Cisco Small Business Smart y Managed Switches, a las versiones de firmware posteriores a la 2.5.5.47, desde el siguiente enlace.
    • Cisco DNA Center, a la versión 1.3.3.0, desde el siguiente enlace.
    • Cisco Data Center Network Manager, a las versiones 11.4(1) o posteriores, desde el siguiente enlace.
    • Cisco Connected Mobile Experiences, a la última versión disponible, desde el siguiente enlace.
    • Cisco Hyperflex HX-Series Software, a versiones posteriores a la 4.0(2a), desde el siguiente enlace.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11