Cisco ha publicado nuevos parches de seguridad que corrigen vulnerabilidades críticas que afectan a los productos Application Centric Infrastructure (ACI) Multi-Site Orchestrator (MSO), la familia de switches Cisco Nexus 3000 y Cisco Nexus 9000, y el motor de servicios Cisco Application Services Engine.
Algunas de las vulnerabilidades detectadas han sido establecidas con una puntuación de 10 (sobre 10) en el sistema de puntuación CVSS (Common Vulnerability Scoring System) v3.
El parche de seguridad que afecta a los productos ACI MSO, corrige un fallo de seguridad en el sistema de autenticación. La vulnerabilidad, con código CVE-2021-1388, ha sido clasificada con una puntuación de 10 en CVSS v3.
- CVE-2021-1388: Esta permite a un atacante, sin necesidad de estar autenticado, realizar un bypass del sistema de autenticación a través de una petición especialmente diseñada sobre la API de los productos ACI MSO. El parche de seguridad se encuentra disponible en el siguiente enlace.
Además, Cisco a publicado un parche para corregir un fallo en la implementación de la gestión de ficheros interna que afecta a la serie de switches Cisco Nexus 3000 y Cisco Nexus 9000. La vulnerabilidad ha sido identificada con el código CVE-2021-1361, con una puntuación de 9.8 en CVSS v3. La vulnerabilidad afecta a todos los productos de las series Cisco Nexus 3000 y 9000 por defecto.
- CVE-2021-1361: La vulnerabilidad permite a un atacante crear, borrar o sobreescribir ficheros con privilegios de administración (root), y por consiguiente, pudiendo crear cuentas de usuario del dispositivo afectado sin la autorización del usuario administrador legítimo. El parche de seguridad se encuentra disponible en el siguiente enlace.
Por último, se ha liberado un parche de seguridad sobre el motor de servicios Cisco Application Services Engine, que corrige un fallo de seguridad sobre el sistema de control de acceso basado en privilegios de la API. Las vulnerabilidades han sido identificadas con los códigos CVE-2021-1393 y CVE-2021-1396, con una puntuación de 9.8 en el sistema CVSS v3.
- CVE-2021-1393 y CVE-2021-1396: Ambas vulnerabilidades permiten a un atacante acceder a servicios privados con necesidad de privilegios sobre la API, evitando el sistema de control de acceso del mismo. El parche de seguridad se encuentra disponible en el siguiente enlace.
Además de las anteriores, Cisco ha publicado parches de seguridad sobre vulnerabilidades de riesgo alto que afectan a múltiples productos de la compañía. Las vulnerabilidades han sido identificadas con los códigos CVE-2021-3156, CVE-2021-1228, CVE-2021-1227, CVE-2021-1387 y CVE-2021-1230.
Desde Hispasec, y debido al alto riesgo de las vulnerabilidades detectadas, recomendamos aplicar los parches de seguridad de Cisco sobre los productos afectados a la mayor brevedad posible.
Más información:
Cisco – Boletín de parches de seguridad
https://tools.cisco.com/security/center/publicationListing.x
The Hacker News – Cisco Releases Security Patches for Critical Flaws Affecting its Products
https://thehackernews.com/2021/02/cisco-releases-security-patches-for.html
