Cisco ha publicado actualizaciones de seguridad para dos fallas de seguridad cr\u00edticas que afectan a su Utilidad de Licencias Inteligentes y que podr\u00edan permitir a atacantes remotos no autenticados elevar sus privilegios o acceder a informaci\u00f3n confidencial.<\/p>\n
A continuaci\u00f3n se muestra una breve descripci\u00f3n de las dos vulnerabilidades:<\/p>\n
- \n
- CVE-2024-20439 (puntuaci\u00f3n CVSS: 9,8): la presencia de una credencial de usuario est\u00e1tica no documentada para una cuenta administrativa que un atacante podr\u00eda explotar para iniciar sesi\u00f3n en un sistema afectado<\/li>\n<\/ul>\n
- \n
- CVE-2024-20440 (puntuaci\u00f3n CVSS: 9,8): una vulnerabilidad que surge debido a un archivo de registro de depuraci\u00f3n excesivamente detallado que un atacante podr\u00eda explotar para acceder a dichos archivos mediante una solicitud HTTP dise\u00f1ada y obtener credenciales que se pueden usar para acceder a la API.<\/li>\n<\/ul>\n
Si bien estas deficiencias no dependen unas de otras para tener \u00e9xito, Cisco notas<\/a> en su aviso dice que “no son explotables a menos que un usuario haya iniciado Cisco Smart Licensing Utility y est\u00e9 ejecut\u00e1ndose activamente”.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.jpg\")
<\/a><\/center><\/div>\nLas fallas, que se descubrieron durante las pruebas de seguridad internas, tampoco afectan a los productos Smart Software Manager On-Prem y Smart Software Manager Satellite.<\/p>\n
Se recomienda a los usuarios de las versiones 2.0.0, 2.1.0 y 2.2.0 de Cisco Smart License Utility que actualicen a una versi\u00f3n corregida. La versi\u00f3n 2.3.0 del software no es susceptible al error.<\/p>\n
Cisco tambi\u00e9n ha publicado actualizaciones para resolver una vulnerabilidad de inyecci\u00f3n de comandos en su Identity Services Engine (ISE) que podr\u00eda permitir a un atacante local autenticado ejecutar comandos arbitrarios en un sistema operativo subyacente y elevar los privilegios a root.<\/p>\n
La falla, identificada como CVE-2024-20469 (puntaje CVSS: 6.0), requiere que un atacante tenga privilegios de administrador v\u00e1lidos en un dispositivo afectado.<\/p>\n
“Esta vulnerabilidad se debe a una validaci\u00f3n insuficiente de la entrada proporcionada por el usuario”, dijo la empresa. dicho<\/a>“Un atacante podr\u00eda aprovechar esta vulnerabilidad enviando un comando CLI dise\u00f1ado espec\u00edficamente. Una explotaci\u00f3n exitosa podr\u00eda permitirle al atacante elevar los privilegios a root”.<\/p>\n
Afecta a las siguientes versiones:<\/p>\n
- \n
- Cisco ISE 3.2 (3.2P7 – septiembre de 2024)<\/li>\n
- Cisco ISE 3.3 (3.3P4 – octubre de 2024)<\/li>\n<\/ul>\n
La compa\u00f1\u00eda tambi\u00e9n advirti\u00f3 que hay disponible un c\u00f3digo de explotaci\u00f3n de prueba de concepto (PoC), aunque no tiene conocimiento de ninguna explotaci\u00f3n maliciosa del error.<\/p>\n
<\/p>\n
- CVE-2024-20440 (puntuaci\u00f3n CVSS: 9,8): una vulnerabilidad que surge debido a un archivo de registro de depuraci\u00f3n excesivamente detallado que un atacante podr\u00eda explotar para acceder a dichos archivos mediante una solicitud HTTP dise\u00f1ada y obtener credenciales que se pueden usar para acceder a la API.<\/li>\n<\/ul>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Cisco-corrige-dos-fallas-criticas-en-la-utilidad-de-licencias.jpg\")
<\/a><\/center><\/div>\n