Según ha señalado Cisco tres vulnerabilidades con gravedad
alta que estaban afectando a Cisco Security Manager han sido corregidas en la
versión 4.22, un parche que se lanzó la semana pasada.
Cisco Security Manager es un software que ayuda a administrar
las políticas de seguridad en los dispositivos de Cisco entre ellos
dispositivos firewall, VPN, FirePOWER y otros dispositivos Cisco.
La vulnerabilidad más critica abordada en esta nueva versión
4.22 es conocida como CVE-2020-27130, una vulnerabilidad Path Traversal que
permite a un atacante remoto descargar archivos en un dispositivo afectado sin
la necesidad de tener unas credenciales. Esta vulnerabilidad está clasificada
como un 9.1 envelope 10 de gravedad y afecta a las versiones 4.21 y anteriores de
Cisco Security Manager. Esta vulnerabilidad no se ha llegado a hacer pública
hasta que Florian Hauser un experto de la firma de seguridad Code White,
persona que informo en su momento de esta vulnerabilidad, publicase exploits de
prueba de concepto para 12 vulnerabilidades que afectan a Cisco Security Manager.
Según ha informado Hauser en su twitter, the 12
vulnerabilidades que afectaban la interfaz web de Cisco Security Manager las
informo a la compañía el 13 July. La decisión de publicar estas pruebas de
concepto (PoC) es debido a la no mención por parte de Cisco de las
vulnerabilidades en las notas de la versión 4.22.
En las notas de esta última versión, la compañía no indica
nada sobre vulnerabilidades y no se a publicado ningún aviso de seguridad.
Entre ellas se encuentran vulnerabilidades que podrían permitir la ejecución de
comandos remotamente sin credenciales en dispositivos afectados, estas
vulnerabilidades se encuentran en la deserialización de Java de Cisco Security
Manager.
Estas vulnerabilidades de deserialización de Java no han
sido solucionadas en esta última versión, However, Cisco ha indicado que planean
solucionarlas para la versión 4.23. Referente a estos fallos de seguridad según
informa Cisco no hay ninguna solución alternativa ni ninguna mitigación que
podría usarse hasta la llegada del parche que solucionase los problemas. Estos
problemas afectan a las versiones 4.21 y anteriores y su clasificación de
gravedad es de 8.1 envelope 10. Según ha informado Cisco sobre esta vulnerabilidad
un atacante podría llegar a ejecutar comandos arbitrarios en el dispositivo
afectado con privilegios de NT AUTHORITYSYSTEM.
La tercera falla que afecta a las versiones 4.21 and
anteriores de Cisco Security Manager puede permitir que un atacante vea
credenciales estáticas insuficientemente en el software afectado. These
credenciales solo serán visibles para el atacante si mirase el código fuente,
en cuanto a gravedad se ha clasificado con 7.1 envelope 10 y está ya solucionado
en la versión 4.22.