Cisco ha lanzado actualizaciones de seguridad para abordar múltiples vulnerabilidades de autenticación previa con exploits públicos que afectan a Cisco Security Manager y que podrían permitir la ejecución remota de código después de una explotación exitosa.

Cisco Security Manager ayuda a administrar las políticas de seguridad en una gran variedad de dispositivos de red y seguridad de Cisco, y también proporciona informes resumidos y capacidades de resolución de problemas de eventos de seguridad.

Este producto funciona con una amplia gama de dispositivos de seguridad de Cisco que incluyen, entre otros, dispositivos Cisco ASA, switches Cisco Catalyst serie 6000, enrutadores de servicios integrados (ISR) y módulos de servicios de firewall.

Exploits de prueba de concepto disponibles desde noviembre

“El equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) está al tanto de los anuncios públicos sobre estas vulnerabilidades”, dice el aviso.

Estas vulnerabilidades afectan a las versiones 4.22 y anteriores de Cisco Security Manager y Cisco las reveló el 16 de noviembre, luego de que el investigador de seguridad de Code White, Florian Hauser, las informara en agosto.

Hauser compartió exploits de prueba de concepto para las 12 vulnerabilidades de Cisco Security Manager que informó después de que Cisco PSIRT dejó de responder.

Afortunadamente, en este momento, Cisco dice que no están al tanto de ningún ataque en curso que explote las vulnerabilidades parcheadas hoy.

“Cisco PSIRT no tiene conocimiento del uso malintencionado de las vulnerabilidades que se describen en este aviso”, agrega Cisco.

Actualizaciones de seguridad disponibles

Cisco abordó dos de las 12 vulnerabilidades (CVE-2020-27125 y CVE-2020-27130), pero no proporcionó ninguna actualización de seguridad para corregir varios errores de seguridad, que se rastrearon colectivamente como CVE-2020-27131.

Las vulnerabilidades fueron encontradas por Hauser en la función de deserialización de Java en Cisco Security Manager y son causadas por la “deserialización insegura del contenido proporcionado por el usuario por el software afectado”.

Después de una explotación exitosa, podrían permitir que atacantes no autenticados ejecuten comandos arbitrarios de forma remota en dispositivos vulnerables.

“Un atacante podría aprovechar estas vulnerabilidades enviando un objeto Java serializado malicioso a un oyente específico en un sistema afectado”, explica Cisco.

“Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo con los privilegios de NT AUTHORITY SYSTEM en el host de destino de Windows”.

Cisco ha corregido estas vulnerabilidades en el Service Pack 1 de Cisco Security Manager versión 4.22.

Los administradores deben implementar de inmediato la actualización de seguridad tan pronto como sea posible, dado que no existen soluciones que solucionen estos errores de seguridad.

En noviembre, Cisco también reveló un error de día cero de AnyConnect VPN con exploits públicos que afectan al software con configuraciones no predeterminadas.