Cisco ha publicado actualizaciones de seguridad para dos fallas de seguridad críticas que afectan a su Utilidad de Licencias Inteligentes y que podrían permitir a atacantes remotos no autenticados elevar sus privilegios o acceder a información confidencial.
A continuación se muestra una breve descripción de las dos vulnerabilidades:
- CVE-2024-20439 (puntuación CVSS: 9,8): la presencia de una credencial de usuario estática no documentada para una cuenta administrativa que un atacante podría explotar para iniciar sesión en un sistema afectado
- CVE-2024-20440 (puntuación CVSS: 9,8): una vulnerabilidad que surge debido a un archivo de registro de depuración excesivamente detallado que un atacante podría explotar para acceder a dichos archivos mediante una solicitud HTTP diseñada y obtener credenciales que se pueden usar para acceder a la API.
Si bien estas deficiencias no dependen unas de otras para tener éxito, Cisco señala en su aviso que «no son explotables a menos que un usuario haya iniciado Cisco Smart Licensing Utility y esté ejecutándose activamente».
Las fallas, que se descubrieron durante las pruebas de seguridad internas, tampoco afectan a los productos Smart Software Manager On-Prem y Smart Software Manager Satellite.
Se recomienda a los usuarios de las versiones 2.0.0, 2.1.0 y 2.2.0 de Cisco Smart License Utility que actualicen a una versión corregida. La versión 2.3.0 del software no es susceptible al error.
Cisco también ha publicado actualizaciones para resolver una vulnerabilidad de inyección de comandos en su Identity Services Engine (ISE) que podría permitir a un atacante local autenticado ejecutar comandos arbitrarios en un sistema operativo subyacente y elevar los privilegios a root.
La falla, identificada como CVE-2024-20469 (puntaje CVSS: 6.0), requiere que un atacante tenga privilegios de administrador válidos en un dispositivo afectado.
«Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario», dijo la compañía . «Un atacante podría explotar esta vulnerabilidad enviando un comando CLI diseñado. Una explotación exitosa podría permitir al atacante elevar los privilegios a root».
Afecta a las siguientes versiones:
- Cisco ISE 3.2 (3.2P7 – septiembre de 2024)
- Cisco ISE 3.3 (3.3P4 – octubre de 2024)
La compañía también advirtió que hay disponible un código de explotación de prueba de concepto (PoC), aunque no tiene conocimiento de ninguna explotación maliciosa del error.
Fuente y redacción: thehackernews.com