Nuevas vulnerabilidades de alta gravedad descubiertas en los productos Cisco IOx y F5 BIG-IP


03 de febrero de 2023Ravie LakshmanánSeguridad/vulnerabilidad de la red

F5 advirtió sobre una falla de alta gravedad que afecta a los dispositivos BIG-IP y que podría provocar una denegación de servicio (DoS) o la ejecución de código arbitrario.

El problema tiene sus raíces en el Protocolo de acceso a objetos simples de iControl (JABÓN) y afecta a las siguientes versiones de BIG-IP:

  • 13.1.5
  • 14.1.4.6 – 14.1.5
  • 15.1.5.1 – 15.1.8
  • 16.1.2.2 – 16.1.3, y
  • 17.0.0

“Existe una vulnerabilidad de cadena de formato en iControl SOAP que permite que un atacante autenticado bloquee el proceso CGI de iControl SOAP o, potencialmente, ejecute código arbitrario”, dijo la compañía. dicho en un aviso. “En el modo de dispositivo BIG-IP, una explotación exitosa de esta vulnerabilidad puede permitir que el atacante cruce un límite de seguridad”.

Rastreado como CVE-2023-22374 (puntaje CVSS: 7.5/8.5), al investigador de seguridad Ron Bowes de Rapid7 se le atribuye el descubrimiento y el informe de la falla el 6 de diciembre de 2022.

Dado que la interfaz SOAP de iCOntrol se ejecuta como root, una explotación exitosa podría permitir que un actor de amenazas active de forma remota la ejecución de código en el dispositivo como usuario root. Esto se puede lograr mediante la inserción arbitraria formato de cadena de caracteres en un parámetro de consulta que se pasa a una función de registro llamada syslog, Bowes dicho.

F5 señaló que ha abordado el problema en una revisión de ingeniería que está disponible para las versiones compatibles de BIG-IP. Como solución alternativa, la empresa recomienda a los usuarios que restrinjan el acceso a la API SOAP de iControl solo a usuarios de confianza.

Error de inyección de comando de parches de Cisco en Cisco IOx

La divulgación se produce cuando Cisco lanzó actualizaciones para corregir una falla en el entorno de alojamiento de aplicaciones Cisco IOx (CVE-2023-20076, puntaje CVSS: 7.2) que podría abrir la puerta para que un atacante remoto autenticado ejecute comandos arbitrarios como root en el host subyacente. Sistema operativo.

El vulnerabilidad afecta a los dispositivos que ejecutan el software Cisco IOS XE y tienen habilitada la función Cisco IOx, así como a los ISR industriales de la serie 800, los puntos de acceso Catalyst, los módulos de cómputo CGR1000, las puertas de enlace de cómputo industrial IC3000 y los enrutadores industriales IR510 WPAN.

La firma de seguridad cibernética Trellix, que identificó el problema, dijo que podría usarse como arma para inyectar paquetes maliciosos de una manera que pueda persistir en los reinicios del sistema y las actualizaciones de firmware, dejando que solo se pueda eliminar después de un restablecimiento de fábrica.

“Un mal actor podría usar CVE-2023-20076 para manipular maliciosamente uno de los dispositivos Cisco afectados en cualquier parte de esta cadena de suministro”, dijo. dicho, advirtiendo de las posibles amenazas a la cadena de suministro. “El nivel de acceso que proporciona CVE-2023-20076 podría permitir que se instalen y oculten puertas traseras, lo que hace que la manipulación sea completamente transparente para el usuario final”.

Si bien el exploit requiere que el atacante esté autenticado y tenga privilegios de administrador, vale la pena señalar que los adversarios pueden encontrar una variedad de formas de escalar los privilegios, como el phishing o apostando por la posibilidad de que los usuarios no hayan podido cambiar las credenciales predeterminadas.

Trellix también descubrió una omisión de verificación de seguridad durante Extracción de archivos TARlo que podría permitir a un atacante escribir en el sistema operativo host subyacente como usuario root.

El mayor de equipos de red, que desde entonces ha remediado el defecto, dijo que la vulnerabilidad no representa un riesgo inmediato ya que “el código se colocó allí para soporte de paquetes de aplicaciones futuras”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57