[Actualización 25/10/2024] Múltiples vulnerabilidades en productos de Cisco
- Las versiones comprendidas entre la 7.1 y la 7.4 con una Base de Datos de Vulnerabilidades (VDB) versión 387 o anterior de las líneas de productos Firepower Threat Defense (FTD) 1000, 2100, 3100 y 4200. Los dispositivos que se actualizaron desde una versión del software Cisco FTD anterior a la versión 7.1, a la versión 7.1 o posterior, no se ven afectados.
- Para los productos Firewall Management Center y Adaptive Security Appliance no se han especificado las versiones afectadas.
Cisco ha publicado su boletín de avisos de seguridad para los productos Firepower Threat Defense, Firewall Management Center y Adaptive Security Appliance, que incluyen tres vulnerabilidades críticas, que de ser explotadas permitirían a un atacante local no autenticado acceder a un sistema afectado utilizando credenciales estáticas o a un atacante remoto autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente como root. Además, podrían permitir a un atacante autenticado y remoto ejecutar comandos del sistema operativo como root.
[Actualización 25/10/2024]
Cisco ha publicado avisos de seguridad para una vulnerabilidad media que está siendo explotada.
Además, el investgador Mohamed Tarek ha reportado tres vulnerabilidades medias, de las cuales existe prueba de concepto.
- Para los productos Firepower Threat Defense, Firewall Management Center y Adaptive Security Appliance, se recomienda mantener los productos actualizados a la última versión disponible. De no ser así, se puede comprobar si la versión empleada está afectada mediante Cisco Software Checker.
- En el caso de Firepower Threat Defense, si no es posible aplicar la actualización ya que esto provocaría un reinicio en el sistema es posible instalar la versión 388 o posterior de VDB en los dispositivos afectados. Esta versión de VDB resolverá la vulnerabilidad.
- Debido a cuentas estáticas con contraseñas cifradas en el sistema afectado, un atacante podría iniciar sesión en la CLI accediendo a información sensible, modificar opciones de configuración o inutilizar el sistema operativo, necesitando una nueva imagen.
- Debido a una validación insuficiente en la entrada de peticiones HTTP específicas, un atacante puede autenticarse en la interfaz de gestión basada en web de un dispositivo afectado y enviando, a continuación, una solicitud HTTP manipulada al dispositivo. Esto podría permitir al atacante ejecutar comandos específicos con permisos de root en el sistema operativo subyacente del dispositivo FMC o ejecutar comandos en dispositivos gestionados con FTD. Para explotar esta vulnerabilidad, el atacante necesitaría credenciales válidas para una cuenta de usuario con al menos el rol de Security Analyst (Read Only).
- Debido a una validación insuficiente en la entrada del usuario, un atacante puede mandar datos falsificados para ejecutar comandos de forma remota en la CLI a través de SSH. Esto podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de nivel root. Un atacante con privilegios de usuario limitados podría utilizar esta vulnerabilidad para obtener el control total del sistema.
Se han asignado los identificadores CVE-2024-20412, CVE-2024-20424 y CVE-2024-20439 respectivamente para estas vulnerabilidades críticas.
[Actualización 25/10/2024]
El PSIRT de Cisco es consciente de la explotación de la vulnerabilidad media con identificador CVE-2024-20481.
El PSIRT de Cisco es consciente de que hay disponible un código de explotación como prueba de concepto para la vulnerabilidades con identificadores: CVE-2024-20377 CVE-2024-20387 CVE-2024-20388.
