Recursos Afectados

Estas vulnerabilidades afectan al software Cisco ASA y al software FTD.

Descripción

Cisco ha publicado 2 vulnerabilidades de severidad alta y 1 de severidad media, que podrían permitir a un atacante ejecutar código arbitrario en el dispositivo afectado, después de la siguiente recarga del dispositivo, inyectar comando o realizar una denegación del servicio.

Solución

Cisco ha publicado actualizaciones de software gratuitas que solucionan la vulnerabilidad descrita en este aviso.

Detalle

La vulnerabilidad CVE-2024-20359 afecta a la validación incorrecta de un archivo cuando se lee desde la memoria flash del sistema. Un atacante podría aprovechar esta vulnerabilidad copiando un archivo manipulado en el sistema de archivos disk0. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en el dispositivo afectado después de la siguiente recarga del dispositivo, lo que podría alterar el comportamiento del sistema. Debido a que el código inyectado podría persistir durante los reinicios del dispositivo.

La vulnerabilidad CVE-2024-20353 se debe a una comprobación de errores incompleta al analizar un encabezado HTTP. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP diseñada a un servidor web específico en un dispositivo. Un exploit exitoso podría permitir al atacante provocar una condición DoS cuando el dispositivo se recarga.

Cisco ha confirmado que estas vulnerabilidades de severidad alta han sido explotadas.

Adicionalmente, el fabricante ha publicado otra vulnerabilidad de menor severidad (CVE-2024-20358) que afecta a estos mismos dispositivos.

 

Inyección de comandos en productos Cisco

Recursos Afectados

Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable de Cisco IMC en la configuración predeterminada:

  • 5000 Series Enterprise Network Compute Systems (ENCS);
  • Catalyst 8300 Series Edge uCPE;
  • UCS C-Series M5, M6, and M7 Rack Servers en modo autónomo;
  • UCS E-Series Servers;
  • UCS S-Series Storage Servers en modo autónomo.

Los dispositivos Cisco, que se basan en una versión preconfigurada de uno de los servidores Cisco UCS C-Series, y que se encuentran en la lista anterior, también se ven afectados por esta vulnerabilidad si exponen el acceso a la interfaz de usuario de Cisco IMC. En el momento de la publicación, esto incluía los siguientes productos Cisco:

  • Application Policy Infrastructure Controller (APIC) Servers;
  • Business Edition 6000 and 7000 Appliances;
  • Catalyst Center Appliances, formerly DNA Center;
  • Cisco Telemetry Broker Appliance;
  • Cloud Services Platform (CSP) 5000 Series;
  • Common Services Platform Collector (CSPC) Appliances;
  • Connected Mobile Experiences (CMX) Appliances;
  • Connected Safety and Security UCS Platform Series Servers;
  • Cyber Vision Center Appliances;
  • Expressway Series Appliances;
  • HyperFlex Edge Nodes;
  • HyperFlex Nodes in HyperFlex Datacenter without Fabric Interconnect (DC-NO-FI) modo desarrollador;
  • IEC6400 Edge Compute Appliances;
  • IOS XRv 9000 Appliances;
  • Meeting Server 1000 Appliances;
  • Nexus Dashboard Appliances;
  • Prime Infrastructure Appliances;
  • Prime Network Registrar Jumpstart Appliances;
  • Secure Email Gateways1;
  • Secure Email and Web Manager1;
  • Secure Endpoint Private Cloud Appliances;
  • Secure Firewall Management Center Appliances, formerly Firepower Management Center;
  • Secure Malware Analytics Appliances;
  • Secure Network Analytics Appliances;
  • Secure Network Server Appliances;
  • Secure Web Appliances1;
  • Secure Workload Servers;

Descripción

Cisco ha publicado una vulnerabilidad de severidad alta que podría permitir que un atacante remoto autenticado con privilegios de nivel de administrador, realice ataques de inyección de comandos en un sistema afectado y eleve sus privilegios a root.

Solución

Cisco ha publicado actualizaciones de software gratuitas que solucionan la vulnerabilidad descrita en este aviso. Los clientes con contratos de servicio que les den derecho a actualizaciones de software periódicas deben obtener las correcciones de seguridad a través de sus canales de actualización habituales.

Detalle

La vulnerabilidad de severidad alta se debe a una validación insuficiente de la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad enviando comandos manipulados a la interfaz de administración basada en web del software afectado. Un exploit exitoso podría permitir al atacante elevar sus privilegios a root.

Se ha asignado el identificador CVE-2024-20356 para esta vulnerabilidad.