NUEVAs VULNERABILIDADes EN PRODUCTOS CISCO ISE

28/11/2022

BOLETÍN NRO 2022-702

Recientemente se han publicado vulnerabilidades del tipo Zero Day que afecta a los productos de Cisco Identity Services Engine.

Servicios Afectados

• Cisco Identity Services Engine

Detalles Tecnicos

CVE: CVE-2022-20959, CVE-2022-20964, CVE-2022-20965,CVE-2022-20966,CVE-2022-20967                                    Severidad:   ALTA

Múltiples vulnerabilidades en Cisco Identity Services Engine (ISE), podrían permitir a los ciberdelincuentes tener la capacidad de inyectar comandos intencionales, eludir las protecciones de seguridad existentes o realizar ataques de cross-site scripting (XSS).

Cisco ISE, un sistema de control de acceso a la red (NAC) basado en la identidad y de aplicación de políticas, permite a los administradores controlar el acceso a los endpoint y gestionar los dispositivos de red.

Un investigador de seguridad ha identificado, un total de cuatro vulnerabilidades en ISE, cuya explotación requiere que el atacante sea un usuario válido y autorizado del sistema ISE. La más grave de estas vulnerabilidades es la CVE-2022-20964, que provoca un fallo de inyección de comandos en la función tcpdump de la interfaz de gestión basada en web de ISE. Este fallo de alta gravedad se debe a que la entrada del usuario no se valida correctamente.

"Un atacante con privilegios suficientes para acceder a la función tcpdump podría explotar esta vulnerabilidad manipulando las peticiones a la interfaz de gestión basada en la web para que contengan comandos del sistema operativo".

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar comandos en el sistema operativo subyacente. Si se encadena con otros fallos, el error podría permitir al atacante elevar los privilegios a root y potencialmente tomar el control del sistema vulnerable. Al aprovecharse del CVE-2022-20964 y posteriormente del CVE-2022-20959, que provoca un fallo de XSS en ISE, un atacante podría obtener fácilmente un shell de root remoto en el sistema vulnerable.

La vulnerabilidad CVE-2022-20965, ocasiona un fallo que se describe como un acceso en la interfaz de gestión basada en la web. Según investigadores de seguridad, este problema de control de acceso amplía la superficie de ataque de los exploits encadenados, exponiendo a muchos usuarios a ataques.

Al explotar esta vulnerabilidad, "un ciberdelincuente que se encuentra autenticado puede realizar descargas de archivos generados por la función, lo que lleva a la divulgación de información a la que no debería poder acceder".

Las otras vulnerabilidades CVE-2022-20966 y CVE-2022-20967 podrían dar lugar a ataques XSS. Las fallas de seguridad se identificaron en las funciones tcpdump y Servidor RADIUS externo de la interfaz de gestión basada en la web. Un ciberdelincuente que aproveche estas vulnerabilidades podría almacenar código HTML o scripts maliciosos dentro de la interfaz de la aplicación y utilizar ese código para efectuar un ataque denominado XSS.

Cisco afirma que los parches que abordan estas vulnerabilidades están previstos para el primer trimestre de 2023.

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Actualizar a las versiones recomendados por el proveedor de seguridad para mitigar la vulnerabilidad.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

** Al aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Fuente

• Fuente 1: Cisco ISE Vulnerabilities Can Be Chained in One-Click Exploit
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​