Vulnerabilidades en diversos productos Cisco

Cisco ha publicado varios boletines para informar de diferentes vulnerabilidades en múltiples productos de toda su familia. Se ven afectados los Hosted Collaboration Solution (HCS), Cisco WebEx Business Suite, Cisco ASA, Cisco Catalyst 6500 Supervisor Engine 2T (Sup2T) y Cisco AsyncOS Software.

El más grave de los problemas (con CVE-2014-2119) afecta al software Cisco AsyncOS para ESA (Email Security Appliance) y a Cisco Content Security Management Appliance (SMA) y podría permitir a atacantes remotos autenticados ejecutar código arbitrario con privilegios de root. Cisco ha publicado actualizaciones gratuitas para solucionar este problema.

Por otra parte otros dos problemas afectan a Hosted Collaboration Solution (HCS), el primero debido a un tratamiento inadecuado de paquetes en el código java en Cisco Hosted Collaboration Solution (HCS) que podría permitir a atacantes remotos sin autenticar cerrar los puertos TCP usados por el sistema (CVE-2014-2121). Y un segundo en la interfaz gráfica del servidor Impact que podría provocar la fuga de memoria (CVE-2014-2122). Ambas vulnerabilidades pueden llevar a una denegación de servicio.

Una vulnerabilidad en Cisco WebEx Business Suite podría permitir a atacantes remotos sin autenticar obtener información sensible transmitida en parámetros GET de las peticiones URL (CVE-2014-0708).

Los dispositivos Cisco ASA se ven afectados por una vulnerabilidad (CVE-2014-2120) en la página de login de WebVPN que podría permitir a un atacante remoto realizar ataques de cross-site scripting.

Una vulnerabilidad causada por el tratamiento inadecuado del tráfico multicast por el Sup2T en los dispositivos Cisco Catalyst 6500 Supervisor Engine 2T (Sup2T) podría permitir a un atacante remoto provocar denegaciones de servicio (CVE-2014-2124).

Estas últimas vulnerabilidades están consideradas de gravedad media o baja, por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas, ya que Cisco no ofrece actualizaciones gratuitas para los problemas considerados de gravedad baja a media.

Más información:

Cisco AsyncOS Software Code Execution Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140319-asyncos

Cisco Hosted Collaboration Solution Denial of Service Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-2121

Cisco Hosted Collaboration Solution Memory Leak Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-2122

Cisco WebEx Business Suite HTTP GET Parameters Include Sensitive Information

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-0708

Cisco Adaptive Security Appliance WebVPN Login Page Cross-Site Scripting Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-2120

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero