Mantenerse al día con las últimas vulnerabilidades y amenazas es crucial para proteger la infraestructura de TI de una organización. Recientemente, se ha descubierto un fallo crítico en los gateways de Cisco que ha puesto en alerta a los equipos de seguridad informática a nivel mundial.
Antes de adentrarnos en los detalles específicos del fallo, es importante entender qué es CSRF. El CSRF es un tipo de ataque informático que engaña al navegador de un usuario para que realice acciones no intencionadas en un sitio web en el que está autenticado. Por ejemplo, si un usuario está autenticado en su banco en línea y al mismo tiempo visita un sitio malicioso, ese sitio podría forzar al navegador del usuario a realizar una transferencia de dinero sin su conocimiento. Este tipo de ataque explota la confianza que un sitio tiene en el navegador del usuario.
Conoce más sobre: ¿Qué es un Ataque de Cross-Site Request Forgery (CSRF)?
Cisco ha corregido múltiples vulnerabilidades que afectan a sus puertas de enlace de colaboración de la serie Expressway. Dos de estas vulnerabilidades se clasifican como críticas y exponen los dispositivos vulnerables a ataques de falsificación de solicitudes entre sitios (CSRF).
Los atacantes pueden aprovechar las vulnerabilidades CSRF para engañar a los usuarios autenticados, haciéndoles clic en enlaces maliciosos o visitar páginas web controladas por atacantes para realizar acciones no deseadas. Estas acciones incluyen agregar nuevas cuentas de usuario, ejecutar código arbitrario y obtener privilegios de administrador, entre otras.
Las dos vulnerabilidades críticas CSRF parcheadas (CVE-2024-20252 y CVE-2024-20254) pueden ser explotadas por atacantes no autenticados para atacar puertas de enlace de Expressway sin parches de forma remota.
Te podrá interesar: Identificando vulnerabilidades: El poder de las CVE
Cisco advierte que "un atacante podría explotar estas vulnerabilidades persuadiendo a un usuario de la API para que siga un enlace diseñado. Una explotación exitosa podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado". Si el usuario afectado tiene privilegios administrativos, estas acciones podrían incluir modificar la configuración del sistema y crear nuevas cuentas privilegiadas.
Además, un tercer error de seguridad CSRF identificado como CVE-2024-20255 también puede utilizarse para alterar la configuración de los sistemas vulnerables y provocar condiciones de denegación de servicio.
CVE-2024-20254 y CVE-2024-20255 afectan a los dispositivos de la serie Cisco Expressway con configuraciones predeterminadas, mientras que CVE-2024-20252 solo se puede explotar en puertas de enlace donde se ha activado la función API de base de datos de clúster (CDB).
La empresa ha anunciado que no proporcionará actualizaciones de seguridad para la puerta de enlace Cisco TelePresence Video Communication Server (VCS) para abordar las tres vulnerabilidades, ya que el soporte para este producto finalizó el 31 de diciembre de 2023.
El Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de Cisco no ha encontrado pruebas públicas de exploits de concepto ni intentos de explotación dirigidos a estas vulnerabilidades.
El mes pasado, Cisco emitió una advertencia sobre una vulnerabilidad crítica de ejecución remota de código que afectaba a sus productos Unified Communications Manager (CM) y Contact Center Solutions, después de haber corregido un grave error en Unity Connection que permitía a atacantes no autenticados obtener privilegios de root de forma remota.
En octubre, Cisco también lanzó parches de seguridad para dos vulnerabilidades de día cero que fueron utilizadas para comprometer más de 50.000 dispositivos IOS XE en una semana.
El año pasado, los hackers explotaron un segundo día cero de IOS e IOS XE en ataques, un error que les permitía ejecutar código arbitrario, obtener control total de los sistemas vulnerables y desencadenar condiciones de denegación de servicio (DoS).
Conoce más sobre: ¿Tu software está al día?: Importancia de los Parches
Este incidente también sirve como un recordatorio de que la seguridad informática es una responsabilidad compartida. Fabricantes, administradores de sistemas y usuarios finales deben trabajar juntos para asegurar que las brechas de seguridad sean identificadas y mitigadas de manera oportuna. Solo a través de una colaboración continua y la adopción de prácticas de seguridad robustas, podemos esperar mantenernos un paso adelante de los actores maliciosos en el ciberespacio.