Vulnerabilidades críticas en Cisco Security Manager permiten la ejecución de código arbitrario; actualice ahora

Los equipos de seguridad de Cisco lanzaron múltiples actualizaciones de seguridad para corregir las fallas de autenticación detectadas recientemente en Cisco Security Manager, cuya explotación permitiría a los actores de amenazas ejecutar código malicioso en los sistemas afectados.

Security Manager ayuda a administrar las políticas de seguridad en una gran variedad de dispositivos de red, operando con una amplia gama de productos de la familia Cisco incluyendo los switches Cisco Catalyst, módulos de servicios de firewall y enrutadores.

En un comunicado, el Equipo de Respuesta a Incidentes de Seguridad de Productos Cisco (PSIRT) señala: “Estamos al tanto de los anuncios públicos sobre estas vulnerabilidades. Las fallas afectan a las versiones 4.22 y anteriores de Cisco Security Manager y fueron reveladas el 16 de noviembre”.

Florian Hauser, especialista en ciberseguridad, encontró estas 12 fallas y reveló exploits de prueba de concepto después de que reportó el hallazgo a la compañía y no recibió respuesta alguna. Por su parte, los representantes de la compañía aseguran no estar al tanto de algún caso de explotación activa: “Cisco no está al tanto del abuso de las fallas descritas en la alerta de seguridad”, señala el mensaje de la compañía.

La compañía también anunció correcciones para 2 de las fallas reportadas (CVE-2020-27125 y CVE-2020-27130), aunque no se proporcionaron detalles sobre los parches de seguridad para las 10 vulnerabilidades restantes. Hauser menciona que detectó las fallas en la función de deserialización de Java en Security Manager, mencionando que lo más probable es que existan debido a que dicho proceso se lleva a cabo de forma insegura en el software afectado.

La explotación exitosa, podrían permitir que atacantes no autenticados ejecuten comandos arbitrarios de forma remota en dispositivos vulnerables, agregó Hauser: “Un actor de amenazas podría aprovechar estas vulnerabilidades enviando un objeto Java serializado malicioso a un oyente específico en un sistema afectado”.

Cisco corrigió las fallas en el Service Pack 1 de la versión 4.22 de Security Manager. Los administradores deben implementar inmediatamente la actualización de seguridad tan pronto como sea posible, dado que no existen soluciones que solucionen estos errores de seguridad.