Cisco ha corregido una vulnerabilidad crítica (CVE-2024-20272) en Cisco Unity Connection que podría permitir a un atacante no autenticado cargar archivos arbitrarios y obtener privilegios de root en el sistema afectado.
Cisco Unity Connection es una solución de mensajería unificada y buzón de voz para bandeja de entrada de correo electrónico, navegador web, Cisco Jabber, Cisco Unified IP Phone, smartphone y tablet.
Una explotación exitosa podría permitir a un atacante remoto no autenticado cargar archivos arbitrarios en un sistema afectado y ejecutar comandos en el sistema operativo subyacente. En función de los privilegios asociados al usuario, un atacante podría instalar programas, ver, modificar o eliminar datos, o crear nuevas cuentas con plenos derechos de usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que aquellos que operan con derechos de usuario administrativos.
Detalles de la vulnerabilidad de Cisco Unity Connection (CVE-2024-20272)
Rastreada como CVE-2024-20272, la vulnerabilidad tiene una puntuación CVSS de 7,3, aunque está categorizada con gravedad crítica por Cisco. Cabe destacar que no es local, por lo que no requiere autenticación ni privilegios, ni interacción del usuario.
El aviso de Cisco atribuye la vulnerabilidad a una falta de autenticación en una API específica y a una validación incorrecta de los datos suministrados por el usuario. Afecta específicamente a la interfaz de gestión basada en web de Cisco Unity Connection y supone una importante amenaza para la seguridad.
La explotación de CVE-2024-20272 implica que el atacante cargue archivos arbitrarios en el sistema afectado. Un exploit exitoso otorga la capacidad de almacenar archivos maliciosos, ejecutar comandos arbitrarios en el sistema operativo y escalar privilegios a root.
Aunque se trata principalmente de una vulnerabilidad de carga de archivos arbitrarios, su potencial para la escalada de privilegios añade una preocupación significativa. Esto indica una tendencia al alza en la explotación de este tipo de vulnerabilidades, y subraya la urgente necesidad de fortificar las defensas en las organizaciones.
Versiones afectadas
- Cisco Unity Connection anterior a 12.5.1.19017-4
- Cisco Unity Connection a partir de 14 y antes de 14.0.1.14006-5
El software de Cisco bajo ataque
Los atacantes suelen aprovechar las vulnerabilidades de las soluciones de Cisco.
El pasado mes de septiembre, Cisco corrigió en caliente una vulnerabilidad (CVE-2023-20269) en los cortafuegos Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD) que estaba siendo explotada.
Al mes siguiente, la empresa corrigió una vulnerabilidad de día cero (CVE-2023-20198) que afectaba a los dispositivos de red que ejecutaban el software Cisco IOS XE.
Cisco también ha parcheado diez vulnerabilidades de seguridad de gravedad media en múltiples productos, que permiten a los atacantes escalar privilegios, lanzar ataques de secuencias de comandos en sitios cruzados (XSS), inyectar comandos, etc.
La empresa afirma que ya está disponible en Internet el código de prueba de uno de estos fallos, una vulnerabilidad de inyección de comandos rastreada como CVE-2024-20287 en la interfaz de gestión basada en web del punto de acceso inalámbrico WAP371 de Cisco. Sin embargo, aunque los atacantes podrían aprovechar este fallo para ejecutar comandos arbitrarios con privilegios de root en dispositivos no parcheados, también se necesitan credenciales administrativas para explotarlo con éxito.
Cisco dice que no lanzará actualizaciones de firmware para parchear el fallo de seguridad CVE-2024-20287 porque el dispositivo Cisco WAP371 llegó al final de su vida útil en junio de 2019.
La compañía aconseja a los clientes con un dispositivo WAP371 en su red que migren al punto de acceso Cisco Business 240AC.
En octubre, Cisco también parcheó dos zero-days (CVE-2023-20198 y CVE-2023-20273) explotados para hackear más de 50.000 dispositivos IOS XE en una sola semana
Recomendaciones
En el comunicado mencionado, la entidad CISCO recomienda que se tomen las siguientes medidas:
- Aplicar los parches adecuados proporcionados por Cisco a los sistemas vulnerables inmediatamente después de realizar las pruebas oportunas. Las versiones recomendadas para el upgrade son:
Cisco Unity Connection 12.5.1.19017-4
Cisco Unity Connection 14.0.1.14006-5
- Cisco afirma que la versión 15 de Unity Connection no está afectada por la vulnerabilidad identificada, CVE-2024-20272.
- Realizar una gestión automatizada de los parches de las aplicaciones: Actualice las aplicaciones de los activos de la empresa mediante la gestión automatizada de parches mensualmente o con mayor frecuencia.
- Aplique el principio de mínimo privilegio a todos los sistemas y servicios. Ejecute todo el software como un usuario sin privilegios (sin privilegios administrativos) para disminuir los efectos de un ataque exitoso.
Actualmente el PSIRT de Cisco no tiene conocimiento de ataques que exploten esta vulnerabilidad a nivel mundial, pero se recomienda encarecidamente tomar en cuenta las medidas detalladas anteriormente.
Referencia: