Cisco ha parcheado varias vulnerabilidades que afectan sus puertas de enlace de colaboración de la serie Expressway, dos de ellas calificadas como de gravedad crítica y exponen los dispositivos vulnerables a ataques de falsificación de solicitudes entre sitios (CSRF).
Los atacantes pueden aprovechar las vulnerabilidades CSRF para engañar a los usuarios autenticados para que hagan clic en enlaces maliciosos o visiten páginas web controladas por atacantes para realizar acciones no deseadas, como agregar nuevas cuentas de usuario, ejecutar código arbitrario, obtener privilegios de administrador y más.
Los atacantes no autenticados pueden aprovechar las dos vulnerabilidades CSRF críticas parcheadas hoy (CVE-2024-20252 y CVE-2024-20254) para atacar de forma remota puertas de enlace de Expressway sin parches.
“Un atacante podría explotar estas vulnerabilidades persuadiendo a un usuario de la API para que siga un enlace diseñado. Una explotación exitosa podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado”, advirtió Cisco .
“Si el usuario afectado tiene privilegios administrativos, estas acciones podrían incluir modificar la configuración del sistema y crear nuevas cuentas privilegiadas”.
Un tercer error de seguridad CSRF identificado como CVE-2024-20255 también se puede utilizar para alterar la configuración de los sistemas vulnerables y desencadenar condiciones de denegación de servicio.
CVE-2024-20254 y CVE-2024-20255 afectan a los dispositivos de la serie Cisco Expressway con configuraciones predeterminadas, mientras que CVE-2024-20252 solo se puede explotar para atacar puertas de enlace donde se ha activado la función API de base de datos de clúster (CDB).
La compañía dice que no publicará actualizaciones de seguridad para la puerta de enlace Cisco TelePresence Video Communication Server (VCS) para abordar las tres vulnerabilidades ya que alcanzó la fecha de finalización del soporte el 31 de diciembre de 2023.
El Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de Cisco no ha encontrado evidencia de pruebas públicas de exploits de concepto o intentos de explotación dirigidos a estas vulnerabilidades.
El mes pasado, Cisco advirtió sobre una falla de ejecución remota de código de gravedad crítica que afectaba a sus productos Unified Communications Manager (CM) y Contact Center Solutions después de corregir un error grave de Unity Connection que podría permitir a atacantes no autenticados obtener privilegios de root de forma remota.
En octubre, Cisco también lanzó parches de seguridad para dos días cero que se utilizaron para comprometer más de 50.000 dispositivos IOS XE en una semana.
Los piratas informáticos explotaron un segundo día cero de IOS e IOS XE el año pasado en ataques, un error que les permitió ejecutar código arbitrario, obtener un control completo de los sistemas vulnerables y desencadenar condiciones de denegación de servicio (DoS).