Encuentran 3 vulnerabilidades sin corregir en productos de Cisco; AsyncOS para Cisco Email Security Appliance, Content Security Management Appliance y Web Security Appliance afectados

Especialistas en ciberseguridad reportan el hallazgo de tres fallas severas en tres diferentes soluciones desarrolladas por la compañía tecnológica Cisco. La explotación exitosa de estas vulnerabilidades permitiría filtraciones de información confidencial.

Los productos afectados son Cisco AsyncOS para Cisco Email Security Appliance, Cisco Content Security Management Appliance y Cisco Web Security Appliance. Cabe mencionar que las vulnerabilidades no han sido corregidas.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).

CVE-2020-3546: Esta falla existe debido a la insuficiente validación en las solicitudes enviadas a través de la interfaz de administración web de Cisco AsyncOS. Acorde a los expertos, un actor de amenazas remoto puede enviar solicitudes especialmente diseñadas para obtener las direcciones IP configuradas en las interfaces de los sistemas afectados.

La vulnerabilidad está presente en la versión 13.5.1 de Cisco AsyncOS y recibió un puntaje de 4.9/10.

CVE-2020-3547: Un método inseguro utilizado para enmascarar ciertas contraseñas en la interfaz de administración web de los productos afectados permitiría a los hackers maliciosos autenticados de forma remota acceder al código HTML sin procesar que se recibe de la interfaz, obteniendo acceso no autorizado a los datos confidenciales del sistema objetivo.

Esta es una vulnerabilidad de severidad media que recibió un puntaje CVSS de 4/10. La falla reside en los siguientes productos y versiones:

Cisco AsyncOS: 13.5.1-277Cisco Content Security Management Appliance: 13.6.1-193Cisco Web Security Appliance: 11.7.2-011

CVE-2020-3548: El inadecuado procesamiento del tráfico Transport Layer Security (TLS) entrante permitiría a los atacantes remotos enviar paquetes TLS especialmente diseñados, desencadenando un incremento en el uso de los recursos del CPU, lo que llevaría a una condición de denegación de servicio (DoS).

La falla recibió un puntaje de 4.9/10, por lo que se le considera una falla de severidad media. La vulnerabilidad reside en AsyncOS para Cisco Email Security Appliance, en su versión 13.5.1-277.

Las fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, pero los expertos aún no han detectado intentos de explotación en escenarios reales. No obstante, debemos recordar que no existen actualizaciones para corregir las fallas, por lo que los administradores de implementaciones afectadas deben permanecer alertas al lanzamiento de los parches de seguridad y habilitar cualquier protección adicional.  
El cargo Encuentran 3 vulnerabilidades sin corregir en productos de Cisco; AsyncOS para Cisco Email Security Appliance, Content Security Management Appliance y Web Security Appliance afectados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.