Cisco ha lanzado correcciones de seguridad para abordar múltiples fallas de seguridad, incluido un error crítico, que podría ser explotado por un actor de amenazas para tomar el control de un sistema afectado o causar una condición de denegación de servicio (DoS).
El más grave de los problemas es CVE-2023-20238, que tiene la clasificación máxima de gravedad CVSS de 10.0. Se describe como una falla de derivación de autenticación en Cisco BroadWorks Application Delivery Platform y Cisco BroadWorks Xtended Services Platform.
La explotación exitosa de la vulnerabilidad – una debilidad en la implementación de inicio de sesión único (SSO) y descubierta durante pruebas internas, podría permitir que un atacante remoto no autenticado falsifique las credenciales necesarias para acceder a un sistema afectado.
“Esta vulnerabilidad se debe al método utilizado para validar los tokens SSO”, dijo Cisco. “Un atacante podría explotar esta vulnerabilidad autenticándose en la aplicación con credenciales falsificadas. Un exploit exitoso podría permitir al atacante cometer fraude de peaje o ejecutar comandos en el nivel de privilegio de la cuenta falsificada”.
“Si esa cuenta es una cuenta de administrador, el atacante tendría la capacidad de ver información confidencial, modificar la configuración del cliente o modificar la configuración de otros usuarios. Para explotar esta vulnerabilidad, el atacante necesitaría un ID de usuario válido que esté asociado con un sistema Cisco BroadWorks afectado.
El problema, según la compañía, afecta a los dos productos de BroadWorks y tiene habilitada una de las siguientes aplicaciones: AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrieval, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events, Xsi-MMTel o Xsi-VTR.
Las correcciones para la vulnerabilidad están disponibles en la versión AP.platform.23.0.1075.ap385341, 2023.06_1.333 y 2023.07_1.332.
Cisco también resolvió una falla de alta gravedad en la función de procesamiento de mensajes RADIUS de Cisco Identity Services Engine (CVE-2023-20243, puntuación CVSS: 8.6) que podría permitir que un atacante remoto no autenticado haga que el sistema afectado deje de procesar paquetes RADIUS.
“Esta vulnerabilidad se debe al manejo inadecuado de ciertas solicitudes de contabilidad RADIUS”, dijo Cisco. “Un exploit exitoso podría permitir al atacante hacer que el proceso RADIUS se reinicie inesperadamente, lo que resultaría en tiempos de espera de autenticación o autorización y negaría a los usuarios legítimos el acceso a la red o servicio”.
CVE-2023-20243 afecta a las versiones 3.1 y 3.2 de Cisco Identity Services Engine. Ha sido parcheado en las versiones 3.1P7 y 3.2P3. Otras versiones del producto no son susceptibles.
Completando la lista de Cisco hay una falla de gravedad media sin parchear (CVE-2023-20269, puntuación CVSS: 5.0) en el software Adaptive Security Appliance (ASA) y el software Firepower Threat Defense (FTD) que, según la compañía, podría permitir a un atacante remoto autenticado establecer una sesión SSL VPN sin cliente con un usuario no autorizado.
Alternativamente, podría permitir que un atacante remoto no autenticado realice fácilmente un ataque de fuerza bruta en un intento de identificar combinaciones válidas de nombre de usuario y contraseña y luego usarlas para establecer una sesión VPN de acceso remoto no autorizada.
La actualización sigue a una advertencia de la firma de ciberseguridad Rapid7 el mes pasado sobre un aumento en la actividad de fuerza bruta dirigida a los dispositivos VPN Cisco ASA SSL para implementar el ransomware Akira y LockBit, lo que indica que CVE-2023-20269 está siendo explotado activamente en la naturaleza para obtener acceso no autorizado.
