Los administradores de red y los equipos de seguridad se movilizan para aplicar rápidamente los parches publicados por Cisco. Estos parches afectan a varios de los productos de seguridad de red de la empresa: Firepower, Identity Services Engine (ISE) y Adaptive Security Appliance (ASA). CISA (equivalente a Anssi en Estados Unidos) ha publicado una alerta sobre estos dispositivos que ofrecen a los atacantes una posición privilegiada en la red para moverse lateralmente.
Un riesgo de inyección de comando por el defecto más grave
La falla más grave está en el software Management Center de Firepower. Le brinda a un atacante autenticado la capacidad de enviar comandos de configuración no autorizados a dispositivos Firepower Threat Defense (FTD). El ciberdelincuente puede autenticarse en la interfaz web y aprovechar la vulnerabilidad enviando una solicitud HTTP especialmente diseñada al dispositivo de destino.
Incluso si cisco no especifica en su opinión qué acciones puede realizar el hacker utilizando estos comandos de configuración, la falla se considera crítica. La infracción solo existe en el software del Centro de administración, por lo que los dispositivos FTD independientes administrados por Firepower Device Manager (FDM) no se ven afectados. El software Adaptive Security Appliance (ASA), el predecesor de Firepower, tampoco se ve afectado.
Otros defectos graves
También se solucionaron dos vulnerabilidades adicionales de inyección de comandos en Firepower Management Center, pero pueden provocar que los comandos se ejecuten en el sistema operativo subyacente, no en los puntos finales administrados. Para explotar estas debilidades, el atacante también debe tener credenciales válidas, pero no es necesario que sea la cuenta de administrador. Ambas vulnerabilidades han sido calificadas como de "alta gravedad".
Se descubrió y solucionó un cuarto error de inyección de código en Firepower Management Center y Firepower Threat Defense. El problema radica en un mecanismo de comunicación entre terminales y permite que un atacante autenticado ejecute comandos como root. Sin embargo, para lograr esto, el atacante debe tener la función de administrador en un dispositivo FTD para apuntar al dispositivo del Centro de administración, o tener privilegios de administrador en el Centro de administración para ejecutar comandos raíz en un dispositivo FTD asociado. También se han solucionado dos problemas de inyección de comandos de alta gravedad en Identity Services Engine (ISE) y podrían permitir que un atacante local autenticado ejecute comandos como root en el sistema operativo subyacente. El ISE también recibió correcciones para dos vulnerabilidades que provocaban la descarga de archivos arbitrarios en el dispositivo o la desactivación del procesamiento del Cisco Discovery Protocol (CDP).
Otras vulnerabilidades expuestas a denegación de servicio
Se solucionaron vulnerabilidades adicionales de alto riesgo que podrían provocar denegaciones de servicio en los firewalls de la serie Adaptive Security Appliance, Firepower Threat Defense, Firepower Management Center y Cisco Firepower 2100. Estos problemas se ubicaron en las siguientes características: procesamiento de mensajes ICMPv6, VPN de acceso remoto, reglas de inspección de firewall, API de registro e inspección ICMPv6 con detección de Snort 2.
Otras noticias que te pueden interesar