Cisco, Fortinet y VMware han lanzado correcciones de seguridad para múltiples vulnerabilidades de seguridad, incluidas debilidades críticas que podrían explotarse para realizar acciones arbitrarias en los dispositivos afectados.
El primer conjunto de Cisco consta de tres fallas: CVE-2024-20252 y CVE-2024-20254 (puntuación CVSS: 9,6) y CVE-2024-20255 (puntuación CVSS: 8,2), que afectan a la serie Cisco Expressway y que podrían permitir una falla no autenticada, atacante remoto para realizar ataques de falsificación de solicitudes entre sitios (CSRF).
Todos los problemas, que se encontraron durante las pruebas de seguridad internas, se derivan de protecciones CSRF insuficientes para la interfaz de administración basada en web que podrían permitir a un atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado.
“Si el usuario afectado tiene privilegios administrativos, estas acciones podrían incluir modificar la configuración del sistema y crear nuevas cuentas privilegiadas”, Cisco dicho sobre CVE-2024-20252 y CVE-2024-20254.
Por otro lado, la explotación exitosa de CVE-2024-20255 dirigida a un usuario con privilegios administrativos podría permitir al actor de la amenaza sobrescribir los ajustes de configuración del sistema, lo que resultaría en una condición de denegación de servicio (DoS).
Otra diferencia crucial entre los dos conjuntos de fallas es que, mientras que los dos primeros afectan a los dispositivos de la serie Cisco Expressway en la configuración predeterminada, CVE-2024-20252 solo los afecta si la función API de la base de datos del clúster (CDB) ha sido habilitada. Está deshabilitado por defecto.
Los parches para las vulnerabilidades están disponibles en las versiones 14.3.4 y 15.0.0 de la serie Cisco Expressway.
Fortinet, por su parte, ha lanzado un segunda ronda de actualizaciones para abordar lo que son omisiones para una falla crítica previamente revelada (CVE-2023-34992, puntuación CVSS: 9.7) en el supervisor FortiSIEM que podría resultar en la ejecución de código arbitrario, de acuerdo a según el investigador de Horizon3.ai, Zach Hanley.
Seguimiento como CVE-2024-23108 y CVE-2024-23109 (Puntuaciones CVSS: 9,8), las fallas “pueden permitir que un atacante remoto no autenticado ejecute comandos no autorizados a través de solicitudes API diseñadas”.
Vale la pena señalar que Fortinet resolvió otra variante de CVE-2023-34992 al cerrar CVE-2023-36553 (puntuación CVSS: 9,3) en noviembre de 2023. Las dos nuevas vulnerabilidades se solucionarán o se solucionarán en las siguientes versiones:
- FortiSIEM versión 7.1.2 o superior
- FortiSIEM versión 7.2.0 o superior (próximamente)
- FortiSIEM versión 7.0.3 o superior (próximamente)
- FortiSIEM versión 6.7.9 o superior (próximamente)
- FortiSIEM versión 6.6.5 o superior (próximamente)
- FortiSIEM versión 6.5.3 o superior (próximamente), y
- FortiSIEM versión 6.4.4 o superior (próximamente)
Completando la trifecta está VMware, que ha advertido sobre cinco defectos de gravedad de moderada a importante en Aria Operations for Networks (anteriormente vRealize Network Insight) –
- CVE-2024-22237 (puntuación CVSS: 7,8): vulnerabilidad de escalada de privilegios locales que permite a un usuario de consola obtener acceso root regular
- CVE-2024-22238 (puntuación CVSS: 6,4): vulnerabilidad de secuencias de comandos entre sitios (XSS) que permite a un actor malicioso con privilegios de administrador inyectar código malicioso en configuraciones de perfil de usuario.
- CVE-2024-22239 (puntuación CVSS: 5,3): vulnerabilidad de escalada de privilegios locales que permite a un usuario de consola obtener acceso regular al shell
- CVE-2024-22240 (puntuación CVSS: 4,9): vulnerabilidad de lectura de archivos locales que permite a un actor malintencionado con privilegios de administrador acceder a información confidencial
- CVE-2024-22241 (puntuación CVSS: 4,3): vulnerabilidad de secuencias de comandos entre sitios (XSS) que permite a un actor malintencionado con privilegios de administrador inyectar código malicioso y hacerse cargo de la cuenta del usuario.
Para mitigar los riesgos, todos los usuarios de VMware Aria Operations for Networks versión 6.x están siendo recomendado para actualizar a la versión 6.12.0.
Teniendo en cuenta el historial de explotación de fallas de Cisco, Fortinet y VMware, la aplicación de parches es un primer paso necesario y crucial que las organizaciones deben tomar para manejar las deficiencias.
About the Author
