Cisco ha publicado tres actualizaciones de seguridad que solventan vulnerabilidades de impacto alto para los productos Cisco Webex, las cámaras IP de la serie 8000 y el sistema de identificación ISE.
Las tres vulnerabilidades corregidas son las siguientes:
- CVE-2020-3544: un error en la implementación del protocolo de Cisco Discovery podría permitir a un atacante remoto ejecutar código arbitrario o provocar una condición de denegación de servicio en las cámaras de vídeo vigilancia de la serie 8000 de Cisco a través del envío de paquetes especialmente manipulados.
- CVE-2020-3535: existe un fallo en el popular software para videoconferencias a la hora de manipular las rutas a directorios durante la ejecución. Un atacante en red local autenticado podría explotar este fallo para cargar una DLL maliciosa y ejecutar código arbitrario con los privilegios del usuario conectado.
- CVE-2020-3467: la tercera vulnerabilidad, considerada de gravedad alta, afecta a los servicios de identificación Cisco Identity Services Engine (ISE). Un error a la hora de asegurar el control de acceso en la interfaz web de la herramienta permitiría a un atacante remoto autenticado modificar partes de la configuración del sistema afectado a través de peticiones HTTP especialmente manipuladas. Una explotación exitosa permitiría además autorizar el acceso a la red a dispositivos controlados por el atacante. Para ello necesitaría tener al menos acceso de solo lectura a una cuenta de administración.
Más información:
Cisco Webex Teams Client for Windows DLL Hijacking Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-teams-dll-drsnH5AN
Cisco Identity Services Engine Authorization Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-auth-bypass-uJWqLTZM
Cisco Video Surveillance 8000 Series IP Cameras Cisco Discovery Protocol Remote Code Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cdp-rcedos-mAHR8vNx
