Cisco ha solucionado dos vulnerabilidades de alta gravedad que afectan su VPN empresarial Cisco Secure Client y su solución de seguridad de endpoints, una de las cuales (CVE-2024-20337) podría ser explotada por atacantes remotos no autenticados para obtener el token de autenticación SAML válido de los usuarios.
«El atacante podría luego usar el token para establecer una sesión VPN de acceso remoto con los privilegios del usuario afectado», dice Cisco, pero señala que «los hosts y servicios individuales detrás de la cabecera VPN aún necesitarían credenciales adicionales para un acceso exitoso».
Vulnerabilidades del cliente seguro de Cisco (CVE-2024-20337, CVE-2024-20338)
CVE-2024-20337 es una vulnerabilidad de inyección de avance de línea de retorno de carro (CRLF).
“Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario a hacer clic en un enlace manipulado mientras establece una sesión VPN. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el navegador o acceder a información confidencial basada en el navegador, incluido un token SAML válido”, explicó la compañía .
La vulnerabilidad afecta a versiones específicas de Secure Client para Windows, macOS y Linux, si la cabecera VPN (es decir, el punto de terminación de los túneles VPN) está configurada con la función de navegador externo SAML.
CVE-2024-20338 , por otro lado, afecta sólo a Cisco Secure Client para Linux si tiene instalado el módulo ISE Posture; sólo puede ser explotado por un atacante local autenticado; y podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios de root.
Actualmente no hay indicios de que los atacantes estén explotando cualquiera de estas fallas, pero los administradores empresariales deben actualizar rápidamente a una de las versiones corregidas.
Otras vulnerabilidades parchadas (y no)
Esta vez, Cisco también parchó varias vulnerabilidades de gravedad media en Duo Authentication para Windows Logon y RDP y AppDynamics Controller, y advirtió sobre dos fallas (CVE-2024-20335, CVE-2024-20336) en Cisco Small Business 100, 300 y puntos de acceso inalámbricos (AP) de la serie 500 que podrían permitir a atacantes remotos autenticados ejecutar código arbitrario como usuario root.
La compañía no planea parchar esos dos últimos, ya que esos AP inalámbricos han entrado en el proceso de fin de vida útil. «Se anima a los clientes a migrar a Cisco Business Access Point Series», aconseja Cisco.
Fuente y redacción: Zeljka Zorz / helpnetsecurity.com