Alertas de seguridad – octubre 2021

Alertas de seguridad – octubre 2021

Vulnerabilidades en dispositivos ASA, FTD Y FMC de CISCO

Cisco ha publicado varias vulnerabilidades de severidad alta de tipo denegación de servicio, inyección de comandos y salto de directorio autenticado que afectan a dispositivos ASA, FTD y FMC. Entre otras cosas, estos fallos permitirían a un atacante: hacer que el dispositivo se reinicie, hacer que el tráfico de paso sea eliminado, ejecutar comandos arbitrarios con privilegios de administrador o leer o escribir archivos arbitrarios en el dispositivo afectado.

Recursos afectados:

  • Productos CISCO con versiones de software vulnerable:
    • ASA (Adaptive Security Appliance)
    • FTD (Firepower Threat Defense)
    • FMC (Firepower Management Center)
  • CISCO ASA y FTD, que tienen configurado el modo de cortafuegos transparente o con una configuración vulnerable de AnyConnect o WebVPN.
  • CISCO FTD que utilizan versiones del proyecto Snort3 de prevención de intrusiones (IPS) de código abierto, anteriores a la 3.1.0.100 con configuraciones de reglas específicas.

Solución:

Cisco ha publicado actualizaciones y, en algunos casos soluciones alternativas, que resuelven estos fallos.

Actualización de seguridad en Adobe

Adobe ha publicado actualizaciones de seguridad que corrigen varias vulnerabilidades de criticidad alta y media en sus productos. Los fallos de criticidad alta podrían permitir a un atacante realizar una ejecución arbitraria de código o lectura de información sensible.

Recursos afectados:

  • Adobe After Effects para Windows, versión 18.4.1 y anteriores
  • Adobe Illustrator 2021 para Windows, versión 25.4.1 y anteriores
  • Adobe Premiere Pro para Windows y macOS, versión 15.4.1 y anteriores
  • Adobe Premiere Elements 2021 para Windows y macOS, compilación 19.0 (20210809.daily.2242976) y versiones anteriores
  • Adobe Photoshop 2021 para Windows y macOS, versión 22.5.1 y anteriores

Solución:

Es recomendable actualizar a la versión más reciente mediante el mecanismo de actualización de la aplicación de escritorio de Creative Cloud:

  • Actualizar Adobe After Effects para Windows a la versión 22.0
  • Actualizar Adobe Illustrator 2021 a Illustrator 2022 versión 26.0
  • Actualizar Adobe Premiere Pro a la versión 22.0
  • Actualizar Adobe Premiere Elements a la compilación 19.0 (20211007.daily.2243969)
  • Actualizar Adobe Photoshop 2021 a la versión 22.5.2
  • Actualizar Adobe Photoshop 2022 a la versión 23.0

 

Vulnerabilidad de inyección de comandos en CISCO

Cisco ha publicado una vulnerabilidad de severidad alta de tipo inyección de comandos. Afecta a múltiples dispositivos con software Cisco IOS XE universal e IOS XE SD-WAN independiente. Un ciberdelincuente podría explotar este fallo autenticándose en un dispositivo afectado y enviando una entrada falsa a la CLI del sistema. De esta forma, podría ejecutar comandos en el sistema operativo subyacente con privilegios de administrador (root).

Recursos afectados:

Los siguientes productos, si ejecutan una versión vulnerable del software Cisco IOS XE SD-WAN independiente, o Cisco IOS XE universal (con versiones de software o anteriores a, 17.2, 17.3, 17.4, 17.5 y 17.6):

  • 1000 Series Integrated Services Routers (ISRs)
  • 4000 Series ISRs
  • ASR 1000 Series Aggregation Services Routers
  • Catalyst 8000 Series Edge Platforms
  • Cloud Services Router (CSR) 1000V Series

Solución:

Cisco ha publicado actualizaciones gratuitas para solucionar esta vulnerabilidad. Para los dispositivos que utilizan el software Cisco IOS XE SD-WAN independiente, no se han pubicado actualizaciones. Pero, Cisco recomienda actualizar a una versión universal del software Cisco IOS XE.

 

Vulnerabilidades en dispositivos CISCO

Cisco ha publicado múltiples vulnerabilidades, todas ellas de severidad alta, que afectan a varios dispositivos.

Recursos afectados:

  • Cisco AnyConnect Secure Mobility Client para Linux y mac OS si el módulo VPN Posture (HostScan) está instalado.
  • Software local de la serie Cisco ATA 190 o del software multiplataforma (MPP) de la serie Cisco ATA 190:
    • ATA 190, todas las versiones
    • ATA 191
      • Adaptador de teléfono analógico versiones anteriores a la 12.0(1)SR4
      • Adaptador de teléfono analógico multiplataforma en versiones anteriores a la 11.2.1
    • ATA 192, versiones anteriores a la 11.2.1
  • Switches de la serie Small Business 220 con versiones 1.2.0.6 y anteriores.
  • Cisco Intersight Virtual Appliance con versiones comprendidas entre la 1.0.9-150 y la 1.0.9-292 ambas incluidas.
  • Cisco AsyncOS para Cisco Web Security Appliance (WSA) en las versiones 12.0, 12.5 y 14.0

Solución:

Cisco ha publicado actualizaciones gratuitas que abordan estas vulnerabilidades.

 

Caduca el certificado raíz DST Root CA X3 y deja a muchos dispositivos sin Internet

Ayer caducó el certificado raíz IdenTrust DST Root CA X3, de Let’s Encrypt, que ha sido utilizado durante veinte años como certificado raíz para establecer confianza entre dispositivos. En la mayoría de dispositivos actuales, esto no supondrá un problema: cuentan con versiones de software recientes que incluyen certificados más modernos o con mecanismos de actualización a través de Internet, que permiten introducir certificados más recientes.

Pero, el problema es que existen muchos otros que no tienen esos mecanismos de actualización. Y, desde ayer, clientes, como los navegadores web, ya no confían en los certificados de esos dispositivos (porque han caducado) y no establecen conexión con Internet. Pueden ser: Smart TVs, ordenadores, consolas o lectores digitales, entre otros.

El listado de dispositivos afectados (publicado por Let’s Encrypt y completado por el investigador Scott Helme) es el siguiente:

  • Windows XP con Service Pack 3
  • MacOS, con actualización menor a 10.12.1 (del 2016)
  • iOS, con actualización menor a iOS 10 (iPhone 5 es el modelo más antiguo que puede actualizarse a iOS 10)
  • Android, con actualización mayor a 2.36 y menor a 7.1.1
  • Mozilla Firefox, superior a versión 2.0
  • Ubuntu, con actualización menor a 16.04
  • Debian, con versión menos a 8
  • Java 8, con versión menor a 8u141
  • Java 7, con actualización menor a 3.26
  • Amazon FireOS
  • Kindle, superior a versión 3.4.1
  • Cyanogen, con versión mayor a 10
  • Consolas PlayStation con firmware mayor a 5.00
  • BlackBerry con versión superior a 10.3.3

Cada caso dependerá de las actualizaciones que hayan recibido los dispositivos. Por eso, es imposible asegurar que todos los dispositivos con las plataformas mencionadas quedarán fuera de internet.

 

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather