CISCO advierte a sus clientes sobre vulnerabilidades que afectan a varios productos. Se revelaron 3 vulnerabilidades de severidad media que podrían ser explotadas por un atacante el cual podría comprometer la seguridad de los productos y a los usuarios.
Detalle de vulnerabilidades
- CVE-2023-20790→ Puntaje base CVSS: 6.5 (media)
Se ha descubierto una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Communications Manager (Unified CM) yCisco Unified Communications Manager Session Management Edition (Unified CM SME). Esta vulnerabilidad podría permitir que un atacante remoto autenticado tenga acceso a la lectura de archivos arbitrarios en el sistema operativo subyacente.
La razón de esta vulnerabilidad radica en la falta de validación adecuada de la entrada proporcionada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar esta situación enviando una solicitud HTTP manipulada que contenga secuencias de caracteres transversales de directorio a un sistema afectado. Si la explotación tiene éxito, el atacante podría acceder a archivos confidenciales en el sistema operativo subyacente.
- CVE-2023-20215→ Puntaje base CVSS: 5.8 (media)
Se ha descubierto una vulnerabilidad en los motores de exploración del software Cisco AsyncOS utilizado en Cisco Secure Web Appliance. Esta vulnerabilidad podría permitir a un atacante remoto, sin autenticar, evadir una regla de configuración establecida, lo que le permitiría que el tráfico fluya en una red que originalmente debería haber sido bloqueado.
La causa de esta vulnerabilidad se encuentra en la detección incorrecta de tráfico malicioso cuando dicho tráfico está cifrado con un formato de contenido específico. Un atacante podría aprovechar esta situación utilizando un dispositivo afectado para conectarse a un servidor malicioso y recibir respuestas HTTP manipuladas. Si la explotación tiene éxito, el atacante podría eludir una regla de bloqueo explícita y recibir tráfico que, en condiciones normales, habría sido rechazado por el dispositivo.
- CVE-2023-20204→ Puntaje base CVSS: 5.4 (media)
Se ha descubierto una vulnerabilidad en la interfaz de administración basada en web del software de aplicación Cisco BroadWorks CommPilot. Esta vulnerabilidad podría ser explotada por un atacante remoto autenticado para llevar a cabo un ataque de secuencias de comandos entre sitios (XSS) dirigido a un usuario de dicha interfaz.
La causa de esta vulnerabilidad radica en la falta de validación adecuada de la entrada proporcionada por el usuario en la interfaz de administración basada en web. Un atacante podría aprovechar esta situación persuadiendo al usuario para que haga clic en un enlace manipulado. Si logra tener éxito en su explotación, el atacante podría ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial almacenada en el navegador del usuario.
Productos Afectados
- Cisco Unified CM y Unified CM SME en la versión 14.0
- Cisco Secure Web Appliance en su versión 14.0 y anteriores.
- Cisco BroadWorks CommPilot en su versión 23.0 y anteriores.
Solución
Actualizar los productos CISCO a las versiones fijas que corrigen las vulnerabilidades:
- Cisco Unified CM y Unified CM SME versión 14SU1.
- Cisco Secure Web Appliance de momento no posee una versión parchada.
- Cisco BroadWorks CommPilot versión 24.0.
Recomendaciones
- Se recomienda aplicar las actualizaciones disponibles del fabricante, las cuales deben ser obtenidas de fuentes oficiales proporcionadas por el proveedor. Sin embargo, antes de llevar a cabo la instalación, es importante realizar un análisis del impacto que estas actualizaciones podrían tener en los servicios críticos para el negocio de la organización. Para obtener una evaluación precisa, es aconsejable consultar con el personal técnico o las áreas responsables de resolver problemas en la organización.
- En cuanto a la vulnerabilidad identificada con el código CVE-2023-20215, no se han descubierto soluciones alternativas para resolver el problema. No obstante, Cisco propone una medida de mitigación que implica desactivar los tipos de codificación de contenido deflate, lzma y brotli en caso de que no sean necesarios para el correcto funcionamiento del sistema. Esta acción puede contribuir a reducir el riesgo asociado con la vulnerabilidad.
Referencias
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-commpilot-xss-jC46sezF
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucm-file-read-h8h4HEJ3
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-bypass-vXvqwzsj
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1674/