Cisco parchó una vulnerabilidad de inyección de comandos con un código de explotación público que permite a los atacantes elevar los privilegios de root en sistemas vulnerables.
Seguimiento como CVE-2024-20469La falla de seguridad se descubrió en Identity Services Engine (ISE) de Cisco, un software de aplicación de políticas y control de acceso a la red basado en identidad que permite la administración y el monitoreo de dispositivos de red en entornos empresariales.
Esta vulnerabilidad de inyección de comandos del sistema operativo se debe a una validación insuficiente de la entrada proporcionada por el usuario. Los atacantes locales pueden aprovechar esta debilidad enviando comandos CLI creados con fines malintencionados en ataques de baja complejidad que no requieren la interacción del usuario.
Sin embargo, como explica Cisco, los malos actores sólo pueden explotar con éxito esta falla si ya tienen privilegios de administrador en sistemas sin parches.
“Una vulnerabilidad en comandos CLI específicos en Cisco Identity Services Engine (ISE) podría permitir que un atacante local autenticado realice ataques de inyección de comandos en el sistema operativo subyacente y eleve los privilegios a la raíz”, dijo la compañía. prevenido en un aviso de seguridad publicado el miércoles.
“El equipo de Cisco PSIRT es consciente de que hay disponible un código de explotación de prueba de concepto para la vulnerabilidad descrita en este aviso. »
| Lanzamiento de Cisco ISE | Primera versión corregida |
|---|---|
| 3.1 y anteriores | Inafectado |
| 3.2 | 3.2P7 (septiembre de 2024) |
| 3.3 | 3.3P4 (octubre de 2024) |
| 3.4 | Inafectado |
Hasta ahora, la compañía aún no ha descubierto ninguna evidencia de que los atacantes estén explotando esta vulnerabilidad de seguridad en la naturaleza.
Cisco también advirtió hoy a sus clientes que ha eliminado una cuenta de puerta trasera en su software Windows Smart Licensing Utility que los atacantes pueden utilizar para iniciar sesión en sistemas sin parches con privilegios administrativos.
En abril, lanzó parches de seguridad para una vulnerabilidad del Controlador de gestión integrado (IMC) (CVE-2024-20295) con un código de explotación disponible públicamente que también permite a los atacantes locales elevar los privilegios a root.
El mes pasado se corrigió otra falla crítica (CVE-2024-20401), que permite a los delincuentes agregar usuarios raíz maliciosos y bloquear permanentemente los dispositivos Security Email Gateway (SEG) a través de correos electrónicos maliciosos.
La misma semana, advirtió sobre una vulnerabilidad de máxima gravedad que permite a los atacantes cambiar cualquier contraseña de usuario en servidores de licencias vulnerables de Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem), incluidos los administradores.