Cisco ha solucionado tres vulnerabilidades graves de falsificación de solicitudes entre sitios (CSRF) en su puerta de enlace de colaboración Expressway Series y una falla de denegación de servicio (DoS) en el motor antimalware ClamAV. Las fallas de CSRF permiten a atacantes no autenticados realizar acciones arbitrarias en dispositivos vulnerables engañando a los usuarios para que hagan clic en un enlace específicamente diseñado. Las acciones se ejecutan con privilegio de la cuenta de la víctima y su naturaleza depende de la vulnerabilidad.
Los dos primeros problemas de CSRF, registrados como CVE-2024-20252 y CVE-2024-20254, se califican como críticos con una puntuación de 9,8 en la escala de gravedad CVSS. Las fallas están ubicadas en la API de los dispositivos Cisco Expressway Series y se deben a la falta de protecciones CSRF en la interfaz de administración basada en web”. Si el usuario afectado tiene privilegios administrativos, estas acciones podrían incluir modificar la configuración del sistema y crear nuevas cuentas privilegiadas. ”, advierte Cisco en su aviso.
La tercera vulnerabilidad CSRF, identificada como CVE-2024-20255, está clasificada como de alta gravedad con una puntuación de 8,2 porque solo podía permitir a los atacantes provocar una condición de denegación de servicio sobrescribiendo los ajustes de configuración del sistema. A diferencia de las otras dos fallas, que afectan a los dispositivos de la serie Expressway en su configuración predeterminada, la tercera falla también afecta a los dispositivos si la función API de la base de datos del clúster (CDB) ha sido habilitada. Esta función esta desactivada por defecto.
Los clientes de Cisco Expressway 14.0 deben actualizar
Cisco recomienda a los clientes de la versión 14.0 de Cisco Expressway Series que actualicen a la versión 14.3.41 recientemente lanzada o actualicen a 15.0.01. Para habilitar la solución, los clientes también deben ejecutar el siguiente comando: xconfiguration Security CSRFProtection status: “Enabled”.
«Cisco TelePresence Video Communication Server (VCS) ha llegado a su fecha de fin de soporte y ya no está incluido en los avisos de la serie Cisco Expressway», dijo la compañía. «Cisco no ha publicado ni publicará actualizaciones de software para Cisco TelePresence VCS para abordar las vulnerabilidades que se describen en este aviso».
La falla que afecta a ClamAV, un kit de herramientas antimalware gratuito y multiplataforma, se rastrea como CVE-2024-20290 y es una sobrelectura del búfer de montón causada por comprobaciones incorrectas de los valores de fin de cadena en el analizador de formato de archivo OLE2. Un atacante remoto podría aprovechar esta vulnerabilidad enviando un archivo especialmente diseñado con contenido OLE2 al escáner ClamAV, lo que podría bloquear el proceso de escaneo y consumir recursos del sistema.
“Esta vulnerabilidad, que tiene un alto índice de impacto en la seguridad (SIR), afecta sólo a las plataformas basadas en Windows porque esas plataformas ejecutan el proceso de escaneo de ClamAV como un servicio que podría entrar en una condición de bucle, lo que consumiría los recursos de CPU disponibles y retrasaría o impediría más operaciones de escaneo”, dijo Cisco en su aviso.