Cisco ha lanzado actualizaciones de seguridad para corregir dos vulnerabilidades críticas en su Smart Licensing Utility. Estas fallas podrían permitir a atacantes remotos no autenticados elevar sus privilegios o acceder a información sensible en los sistemas afectados. Se insta a los usuarios a actualizar a la última versión para proteger sus sistemas.
Detalles del Incidente
Las vulnerabilidades, identificadas como CVE-2024-20439 y CVE-2024-20440, ambas con una puntuación CVSS de 9.8, representan serios riesgos de seguridad. La primera vulnerabilidad se debe a la presencia de credenciales de usuario estáticas y no documentadas para una cuenta administrativa, lo que permite a un atacante iniciar sesión en un sistema comprometido. La segunda vulnerabilidad surge de un archivo de registro de depuración excesivamente detallado, que un atacante podría aprovechar mediante una solicitud HTTP diseñada para obtener credenciales y acceder a la API.
Impacto y Mitigación
Aunque estas vulnerabilidades no dependen una de la otra para ser explotadas, Cisco señala que no son explotables a menos que la Smart Licensing Utility esté activa. Es importante destacar que estos problemas no afectan a los productos Smart Software Manager On-Prem y Smart Software Manager Satellite.
Los usuarios de Cisco Smart License Utility en versiones 2.0.0, 2.1.0, y 2.2.0 deben actualizar inmediatamente a la versión 2.3.0, que no es susceptible a estos fallos.
Otras Actualizaciones
Además, Cisco ha corregido una vulnerabilidad de inyección de comandos en su Identity Services Engine (ISE), identificada como CVE-2024-20469 con una puntuación CVSS de 6.0. Este fallo podría permitir a un atacante autenticado con privilegios administrativos ejecutar comandos arbitrarios en el sistema operativo subyacente y elevar sus privilegios a root. Las versiones afectadas incluyen Cisco ISE 3.2 (3.2P7 – Sep 2024) y Cisco ISE 3.3 (3.3P4 – Oct 2024).
Recomendación
Dado que existe un código de prueba de concepto (PoC) disponible para esta última vulnerabilidad, es crucial que las organizaciones que utilicen Cisco ISE actualicen a la versión más reciente para mitigar cualquier riesgo potencial.
Conclusión
Este incidente subraya la importancia de mantener los sistemas actualizados y de seguir las recomendaciones de seguridad emitidas por los fabricantes. Cisco ha actuado rápidamente para mitigar estos riesgos, pero es responsabilidad de las organizaciones implementar estas soluciones de manera oportuna. Manténgase al tanto de las actualizaciones y asegure sus sistemas contra posibles ataques.