Cisco ha lanzado actualizaciones de seguridad para contener tres vulnerabilidades que afectan a sus productos, incluida una falla de alta gravedad en su dispositivo de seguridad de correo electrónico (ESA) que podría provocar una condición de denegación de servicio (DoS) en un dispositivo afectado.

La debilidad, a la que se le asignó el identificador CVE-2022-20653 (puntuación CVSS: 7,5), se deriva de un caso de manejo de errores insuficiente en la resolución de nombres DNS que podría ser abusado por un atacante remoto no autenticado para enviar un mensaje de correo electrónico especialmente diseñado y causar un DoS.

«Una explotación exitosa podría permitir que el atacante haga que el dispositivo se vuelva inalcanzable desde las interfaces de administración o procese mensajes de correo electrónico adicionales durante un período de tiempo hasta que el dispositivo se recupere, lo que resultará en una condición DoS», dijo la compañía en un aviso. «Los ataques continuos podrían hacer que el dispositivo deje de estar disponible por completo, lo que resulta en una condición DoS persistente».

La falla afecta a los dispositivos Cisco ESA que ejecutan el software Cisco AsyncOS con las versiones 14.0, 13.5, 13.0, 12.5 y anteriores y tienen la «función DANE habilitada y con los servidores de correo descendente configurados para enviar mensajes de rebote». DANE es la abreviatura de autenticación de entidades nombradas basada en DNS, que se utiliza para la validación del correo saliente.

Cisco acreditó a los investigadores del proveedor de servicios de TIC Rijksoverheid Dienst ICT Uitvoering (DICTU) por informar sobre la vulnerabilidad, al tiempo que señaló que no encontró ninguna evidencia de explotación maliciosa.

Por separado, el fabricante de equipos de red también abordó otras dos fallas en su infraestructura principal y el administrador de red programable evolucionado y el administrador de configuración de redundancia que podrían permitir que un adversario ejecute código arbitrario y provoque una condición DoS:

  • CVE-2022-20659 (puntaje CVSS: 6.1): vulnerabilidad de secuencias de comandos entre sitios (XSS) de Cisco Prime Infrastructure y Evolved Programmable Network Manager
  • CVE-2022-20750 (puntuación CVSS: 5,3): administrador de configuración de redundancia de Cisco para la vulnerabilidad de denegación de servicio (DoS) TCP del software Cisco StarOS

Las correcciones también se producen semanas después de que Cisco publicara parches para múltiples vulnerabilidades de seguridad críticas que afectan a sus enrutadores de la serie RV, algunos de los cuales obtuvieron las calificaciones de puntuación de gravedad CVSS más altas posibles de 10, que podrían usarse como armas para elevar los privilegios y ejecutar código arbitrario en los sistemas afectados.

Fuente y redacción: thehackernews.com

Compartir