Cisco ha lanzado actualizaciones de software para abordar una falla de seguridad crítica que afecta la gestión de reuniones y que podría permitir que un atacante remoto y autenticado obtenga privilegios de administrador en instancias susceptibles.
La vulnerabilidad, registrada como CVE-2025-20156, tiene una puntuación CVSS de 9,9 sobre 10,0. Se ha descrito como una falla de escalada de privilegios en la API REST de Cisco Meeting Management.
“Esta vulnerabilidad existe porque no se aplica la autorización adecuada a los usuarios de la API REST”, dijo la empresa. dicho en un aviso del miércoles. “Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes de API a un punto final específico”.
“Un exploit exitoso podría permitir al atacante obtener control a nivel de administrador sobre los nodos periféricos administrados por Cisco Meeting Management”.
El especialista en equipos de redes le dio crédito a Ben Leonard-Lagarde de Modux por informar sobre la deficiencia de seguridad. Afecta a las siguientes versiones del producto independientemente de la configuración del dispositivo:
- Cisco Meeting Management versión 3.9 (parcheada en 3.9.1)
- Cisco Meeting Management versiones 3.8 y anteriores (migrar a una versión fija)
- Cisco Meeting Management versión 3.10 (no vulnerable)
Cisco también lanzó parches para remediar una falla de denegación de servicio (DoS) que afecta a BroadWorks y que se deriva de un manejo inadecuado de la memoria para ciertas solicitudes del Protocolo de inicio de sesión (SIP) (CVE-2025-20165, puntuación CVSS: 7,5). El problema se solucionó en la versión RI.2024.11.
“Un atacante podría aprovechar esta vulnerabilidad enviando una gran cantidad de solicitudes SIP a un sistema afectado”, dicho.
“Un exploit exitoso podría permitir al atacante agotar la memoria asignada a los servidores de red Cisco BroadWorks que manejan el tráfico SIP. Si no hay memoria disponible, los servidores de red ya no pueden procesar las solicitudes entrantes, lo que resulta en una condición DoS que requiere manual intervención para recuperarse.”
Una tercera vulnerabilidad parcheada por Cisco es CVE-2025-20128 (Puntuación CVSS: 5.3), un error de subdesbordamiento de enteros que afecta la rutina de descifrado de vinculación e incrustación de objetos 2 (OLE2) de ClamAV y que también podría resultar en una condición DoS.
La compañía, que reconoció a Google OSS-Fuzz por informar sobre la falla, dijo que está consciente de la existencia de un código de explotación de prueba de concepto (PoC), aunque no hay evidencia de que haya sido explotado maliciosamente en la naturaleza.
CISA y FBI detallan las cadenas de explotación de Ivanti
La noticia de las fallas de Cisco llega cuando las agencias de seguridad cibernética y aplicación de la ley del gobierno de EE. UU. publicaron detalles técnicos de dos cadenas de exploits utilizadas como armas por equipos de piratería de estados nación para ingresar a las aplicaciones de servicios en la nube de Ivanti en septiembre de 2024.
Las vulnerabilidades en cuestión son las siguientes:
Las secuencias de ataque, según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI), involucraron el abuso de CVE-2024-8963 junto con CVE-2024-8190 y CVE-2024-9380 en un caso. y CVE-2024-8963 y CVE-2024-9379 en el otro.
Vale la pena señalar que la primera cadena de exploits fue revelada por Fortinet FortiGuard Labs en octubre de 2024. En al menos un caso, se cree que los actores de amenazas realizaron movimientos laterales después de lograr un punto de apoyo inicial.
Se ha descubierto que la segunda cadena de exploits aprovecha CVE-2024-8963 en combinación con CVE-2024-9379 para obtener acceso a la red de destino, seguido de intentos fallidos de implantar web shells para lograr persistencia.
“Los actores de amenazas encadenaron las vulnerabilidades enumeradas para obtener acceso inicial, realizar ejecución remota de código (RCE), obtener credenciales e implantar shells web en las redes de las víctimas”, dijeron las agencias. dicho. “Las credenciales y los datos confidenciales almacenados dentro de los dispositivos Ivanti afectados deben considerarse comprometidos.
About the Author
