En los últimos días, cisco ha publicado varios boletines de seguridad en los cuales indica que se han detectado múltiples vulnerabilidades en la API y en la interfaz de administración sobre los equipos Cisco Expressway y Cisco TelePresence Video Communication Server (VCS) las cuales permitirán a un atacante remoto tener permisos de lectura y escritura sobre los archivos de la aplicación y/o ejecutar código remoto sobre el sistema con privilegios de root, por lo cual están solicitando a los clientes actualizar de manera oportuna los sistemas operativos de dichos elementos. Por otra parte, se identificó una vulnerabilidad sobre Cisco Identity Service Engine (Cisco ISE) que permitirá una denegación del servicio de autenticación sobre el sistema RADIUS.

Con una severidad critica, dos diferentes vulnerabilidades han sido detectadas por el equipo interno de investigación de Cisco (Advanced Security Initiatives Group (ASIG)) sobre los elementos Cisco Expressway y Cisco VCS, estas vulnerabilidades clasificadas con los siguientes CVE (CVE-2022-20754 y CVE-2022-20755) son independientes y no necesitan que una sea explotada para que funcione la explotación de la otra. En el primer caso la debilidad fue encontrada en la API de estas dos herramientas y permitiría al ciber delincuente realizar un ataque de directorio transversal llegando a espacios del sistema no autorizados en donde podría leer y escribir archivos del sistema, todo esto con permisos de root. Para el segundo caso, la debilidad se ubica sobre el sistema de administración web de los sistemas indicados y permitiría a un atacante remoto autenticado, ejecutar cualquier tipo de comando con permisos de root.

Criticidad CVE- 2022-20754 CVE - 20755 - Recomendaciones. (Cisco)

Adicional a estas vulnerabilidades, se ha publicado una vulnerabilidad sobre el sistema Cisco Identity Service Engine (Cisco ISE) que permitiría generar una denegación del servicio. Esta vulnerabilidad que tiene el identificador CVE-2022- 20756 permitiría que el atacante que generara paquetes de solicitudes de autenticación sobre la red que tenga este servicio conectado con un servidor RADIUS bloqueara el proceso de autenticación y causara timeouts sobre todos los otros elementos que se intentaran conectar causando una denegación de este servicio. Es importante indicar que esto solo aplica si existe un servidor RADIUS habilitado, para autenticaciones contra servidores TACACS no se presenta el inconveniente. Dado que para reponer el servicio afectado en caso de que se efectué el ataque es necesario reiniciar el nodo, Cisco ha generado una serie de parches que sugieren aplicar en el menor tiempo posible.

Criticidad CVE-2022-20756 (Cisco)

Recomendaciones

Para los tres comportamientos indicados, se recomienda realizar la respectiva actualización a una versión no vulnerables y en caso de dudas contactar con s proveedor de Cisco para determinar si es necesaria una revisión del sistema en detalle.

Parches publicados CVE-2022-20756 (Cisco)

Casos de uso *:

  • Reconocimiento y / o Vulnerabilidades.
  • Verificación Fuerza Bruta.
  • Seguimiento de actividades de un posible Ataque de día Cero.
  • Network DoS Activity Detected.

*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.

Para más información puede consultar las siguientes fuentes asociadas a la noticia: