Cisco ha lanzado parches para abordar una falla de seguridad de máxima gravedad que afecta a Smart Software Manager On-Prem (Cisco SSM On-Prem) que podría permitir a un atacante remoto no autenticado cambiar la contraseña de cualquier usuario, incluidos los que pertenecen a usuarios administrativos.
La vulnerabilidad, rastreada como CVE-2024-20419tiene una puntuación CVSS de 10,0.
«Esta vulnerabilidad se debe a una implementación incorrecta del proceso de cambio de contraseña», dijo la empresa. dicho En un aviso, se indica que «un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un dispositivo afectado. Si lo logra, podría acceder a la interfaz de usuario web o a la API con los privilegios del usuario afectado».
La falla afecta a las versiones 8-202206 y anteriores de Cisco SSM On-Prem. Se ha corregido en la versión 8-202212. Vale la pena señalar que la versión 9 no es susceptible a la falla.
Cisco afirmó que no existen soluciones alternativas que resuelvan el problema y que no tiene conocimiento de ninguna explotación maliciosa. El investigador de seguridad Mohammed Adel ha sido reconocido por descubrir y denunciar el error.
El fabricante de equipos de red también solucionó otra vulnerabilidad crítica de escritura de archivos en Secure Email Gateway (CVE-2024-20401, puntuación CVSS: 9.8) que permite a los atacantes agregar nuevos usuarios con privilegios de root y bloquear permanentemente los dispositivos mediante correos electrónicos con archivos adjuntos maliciosos.
«Un atacante podría explotar esta vulnerabilidad enviando un correo electrónico que contenga un archivo adjunto creado a través de un dispositivo afectado», afirma. anotado«Una explotación exitosa podría permitir al atacante reemplazar cualquier archivo en el sistema de archivos subyacente».
«El atacante podría entonces realizar cualquiera de las siguientes acciones: agregar usuarios con privilegios de root, modificar la configuración del dispositivo, ejecutar código arbitrario o provocar una condición de denegación de servicio (DoS) permanente en el dispositivo afectado».
La falla afecta a los dispositivos SEG si ejecutan una versión vulnerable de Cisco AsyncOS y si se cumplen los siguientes requisitos previos:
- La función de análisis de archivos (parte de Cisco Advanced Malware Protection) o la función de filtro de contenido están habilitadas y asignadas a una política de correo entrante
- La versión de Content Scanner Tools es anterior a la 23.3.0.4823
Hay un parche para CVE-2024-20401 disponible a través del paquete Content Scanner Tools versiones 23.3.0.4823 y posteriores, que se incluye de forma predeterminada en Cisco AsyncOS para Cisco Secure Email Software versiones 15.5.1-055 y posteriores.
CISA añade 3 defectos al catálogo KEV
La revelación se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregado tres vulnerabilidades a sus Vulnerabilidades Explotadas Conocidas (KEV) catálogo, basado en evidencia de explotación activa –
- CVE-2024-34102 (Puntuación CVSS: 9,8) – Vulnerabilidad de restricción incorrecta de referencia de entidad externa XML (XXE) en código abierto de Adobe Commerce y Magento
- CVE-2024-28995 (Puntuación CVSS: 8,6) – Vulnerabilidad de recorrido de ruta de Serv-U de SolarWinds
- CVE-2022-22948 (Puntuación CVSS: 6,5) – Vulnerabilidad de permisos de archivos predeterminados incorrectos en VMware vCenter Server
CVE-2024-34102, también conocido como CosmicSting, es una falla de seguridad grave que surge del manejo inadecuado de la deserialización anidada, lo que permite a los atacantes lograr la ejecución remota de códigoSe realizó una prueba de concepto (PoC) para explotar la falla. liberado por Assetnote a finales del mes pasado.
Se han recibido informes sobre la explotación de CVE-2024-28995, una vulnerabilidad transversal de directorio que podría permitir el acceso a archivos confidenciales en la máquina host. detallado por GreyNoise, incluidos los intentos de leer archivos como /etc/passwd.
Por otro lado, el abuso de CVE-2022-22948 ha sido atribuido por Mandiant, propiedad de Google, a un grupo de ciberespionaje con nexo con China conocido como UNC3886, que tiene antecedentes de aprovechar fallas de día cero en dispositivos Fortinet, Ivanti y VMware.
Las agencias federales deben aplicar mitigaciones según las instrucciones del proveedor antes del 7 de agosto de 2024, para proteger sus redes contra amenazas activas.