Investigador publica Pruebas de Concepto para presionar a Cisco a que describa sus vulnerabilidades parchadas

Cisco ha parchado una serie de vulnerabilidades en Cisco Security Manager, incluyendo tres que habían sido develadas hace 4 meses. Pero sólo publicó información sobre ellas después de que el investigador que las descubrió publicara Pruebas de Concepto que exponían sus peligros.

Las vulnerabilidades parchadas forman parte de un grupo de 12 vulnerabilidades de seguridad que fueron develadas de forma responsable en julio por el investigador de seguridad Florian Hauser, pero que hasta este mes no habían sido resueltas. Las vulnerabilidades afectaban la interfaz de Cisco Security Manager y permitían la ejecución remota de códigos por parte de personas sin autorización. Hauser, de la empresa Code White, informó sobre el peligro al Equipo de Respuesta a Incidentes de Seguridad en Productos de Cisco (PSIRT), pero no obtuvo respuesta.

Este mes, Cisco había publicado la actualización 4.22 que ponía a disposición de sus usuarios una serie de parches de seguridad incluyendo unos que solucionaban algunos de los 12 problemas denunciados por Hauser. Sin embargo, la empresa no mencionó estas vulnerabilidades ni profundizó sobre sus descripciones o alertó a sus clientes sobre sus peligros, por lo que el investigador decidió publicar Pruebas de Concepto que las visibilizaran.

“Hace 120 días alerté a Cisco sobre 12 vulnerabilidades que afectaban la interfaz de Cisco Security Manager. Todas permitían el acceso sin autentificación, casi todas daban de forma casi directa lugar a la Ejecución Remota de Códigos”, dijo Hauser el 11 de noviembre en Twitter. Al día siguiente, complementó: “Como el PSIRT de Cisco no ha respondido y la actualización 4.22 que se publicó no menciona ninguna de las vulnerabilidades, aquí están las 12 Pruebas de Concepto”. Aunque algunas de estas vulnerabilidades ya habían sido parchadas por Cisco, otras todavía están desprotegidas.

Sólo días después, Cisco publicó las descripciones de las amenazas dándole crédito a Hauser por su descubrimiento. Entre ellas se encontraban una vulnerabilidad crítica y dos importantes que formaban parte del grupo de problemas que había denunciado Hauser. Cisco dijo que estaba al tanto de las Pruebas de Concepto expuestas, pero no ha dicho si publicó la información a raíz de la presión ejercida días antes por el investigador.

La vulnerabilidad crítica parchada en la última actualización de Cisco ha sido registrada como CVE-2020-27130 y tiene una gravedad de 9,1 sobre 10. Permite que un atacante sin ninguna credencial de acceso pueda descargar archivos de un dispositivo afectado. “La vulnerabilidad se debe a la validación inadecuada de las secuencias de caracteres transversales del directorio dentro de las solicitudes a un dispositivo afectado. Un atacante puede explotar esta vulnerabilidad enviando una solicitud especial al dispositivo afectado”, explicó Cisco.

Otro de los problemas parchados es una falla de deserialización de Java que tiene una gravedad de 8,1 sobre 10 y se registró como CVE-2020-27131. Esta vulnerabilidad también permite que un atacante ejecute comandos de forma arbitraria y remota en un dispositivo vulnerable. Por último, Cisco también publicó la descripción de CVE-2020-27125, otro de los problemas denunciados por Hauser y parchados en 4.22. Esta falla tiene una gravedad de 7,1 sobre 10 y hace que un atacante pueda ver desde el código fuente las credenciales estáticas desprotegidas en los sistemas afectados.

“Pedimos a nuestros usuarios que revisen las descripciones para tener los detalles completos de las vulnerabilidades. El Equipo de Respuesta a Incidentes de Seguridad en Productos de Cisco no está al tanto de ningún caso en el que se haya hecho uso malintencionado de estas vulnerabilidades”, afirmó Cisco.

Fuentes
Critical vulnerabilities in Cisco Security Manager fixed, researcher discloses PoCs • Help Net Security
Cisco patch notes ‘left out’ details of RCE flaws • IT Pro
Cisco reveals this critical bug in Cisco Security Manager after exploits are posted – patch now • ZDNet

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *