Cisco ha lanzado parches para abordar una falla de seguridad de máxima gravedad que afecta a Smart Software Manager On-Prem (Cisco SSM On-Prem) que podría permitir a un atacante remoto no autenticado cambiar la contraseña de cualquier usuario, incluidos los que pertenecen a usuarios administrativos.
La vulnerabilidad, identificada como CVE-2024-20419 , tiene una puntuación CVSS de 10,0.
«Esta vulnerabilidad se debe a una implementación incorrecta del proceso de cambio de contraseña», afirmó la empresa en un aviso. «Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un dispositivo afectado. Una explotación exitosa podría permitir a un atacante acceder a la interfaz de usuario web o API con los privilegios del usuario afectado».
La falla afecta a las versiones 8-202206 y anteriores de Cisco SSM On-Prem. Se ha corregido en la versión 8-202212. Vale la pena señalar que la versión 9 no es susceptible a la falla.
Cisco afirmó que no existen soluciones alternativas que resuelvan el problema y que no tiene conocimiento de ninguna explotación maliciosa. El investigador de seguridad Mohammed Adel ha sido reconocido por descubrir y denunciar el error.
El fabricante del equipo de red también solucionó otra vulnerabilidad crítica de escritura de archivos en Secure Email Gateway (CVE-2024-20401, puntuación CVSS: 9.8) que permite a los atacantes agregar nuevos usuarios con privilegios de root y bloquear permanentemente los dispositivos mediante correos electrónicos con archivos adjuntos maliciosos.
«Un atacante podría aprovechar esta vulnerabilidad enviando un correo electrónico que contenga un archivo adjunto creado a través de un dispositivo afectado», señaló . «Si lo logra, podría reemplazar cualquier archivo del sistema de archivos subyacente».
«El atacante podría entonces realizar cualquiera de las siguientes acciones: agregar usuarios con privilegios de root, modificar la configuración del dispositivo, ejecutar código arbitrario o provocar una condición de denegación de servicio (DoS) permanente en el dispositivo afectado».
La falla afecta a los dispositivos SEG si ejecutan una versión vulnerable de Cisco AsyncOS y si se cumplen los siguientes requisitos previos:
- La función de análisis de archivos (parte de Cisco Advanced Malware Protection) o la función de filtro de contenido está habilitada y asignada a una política de correo entrante
- La versión de Content Scanner Tools es anterior a la 23.3.0.4823
Hay un parche para CVE-2024-20401 disponible a través del paquete Content Scanner Tools versiones 23.3.0.4823 y posteriores, que se incluye de forma predeterminada en Cisco AsyncOS para Cisco Secure Email Software versiones 15.5.1-055 y posteriores.
CISA añade 3 defectos al catálogo KEV
La revelación se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó tres vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basándose en evidencia de explotación activa:
- CVE-2024-34102 (puntuación CVSS: 9,8): vulnerabilidad de restricción incorrecta de referencia de entidad externa XML (XXE) en código abierto de Adobe Commerce y Magento
- CVE-2024-28995 (puntuación CVSS: 8,6): vulnerabilidad de recorrido de ruta de Serv-U de SolarWinds
- CVE-2022-22948 (puntuación CVSS: 6,5): vulnerabilidad de permisos de archivo predeterminados incorrectos en VMware vCenter Server
CVE-2024-34102, también conocida como CosmicSting , es una falla de seguridad grave que surge del manejo inadecuado de la deserialización anidada, lo que permite a los atacantes lograr la ejecución remota de código . Assetnote publicó un exploit de prueba de concepto (PoC) para la falla a fines del mes pasado.
GreyNoise detalló informes sobre la explotación de CVE-2024-28995 , una vulnerabilidad transversal de directorio que podría permitir el acceso a archivos confidenciales en la máquina host, incluidos intentos de leer archivos como /etc/passwd.
Por otro lado, el abuso de CVE-2022-22948 ha sido atribuido por Mandiant, propiedad de Google, a un grupo de ciberespionaje con nexo con China conocido como UNC3886, que tiene antecedentes de aprovechar fallas de día cero en dispositivos Fortinet, Ivanti y VMware.
Las agencias federales deben aplicar mitigaciones según las instrucciones del proveedor antes del 7 de agosto de 2024, para proteger sus redes contra amenazas activas.
Fuente y redacción: thehackernews.com