Los equipos de ciberseguridad de Cisco anunciaron el lanzamiento de un conjunto de parches para abordar un conjunto de vulnerabilidades severas, incluyendo fallas de seguridad en Webex Player, SD-WAN y el software ASR 500 Series, empleados en toda clase de entornos. Las tres fallas más severas recibieron puntajes de 7.8/10 acorde al Common Vulnerability Scoring System (CVSS) y residen en Webex Player para sistemas Windows y macOS, además de afectar Webex Network Recording Player para los sistemas operativos mencionados.
La primera de las fallas encontradas fue identificada como CVE-2021-1526 y descrita como un problema de corrupción de memoria cuya explotación exitosa permitiría la ejecución de código en el sistema objetivo. La falla puede ser explotada a través de archivos Webex Recording Format (WRF) y reside en las versiones de Cisco Webex Player anteriores a 41.5.
Las dos fallas siguientes (CVE-2021-1502 y CVE-2021-1503) también fueron descritas como errores de corrupción de memoria en Webex Network Recording Player y Webex Player para macOS y Windows. Las dos vulnerabilidades podrían ser explotadas para conducir a escenarios de ejecución de código arbitrario en los sistemas afectados; para evitar esto los usuarios deben actualizar a v14.4 y posteriores.
Esta ha sido una semana ajetreada para Cisco. Hace un par de días la compañía también lanzó parches de seguridad para abordar CVE-2021-1528, una falla crítica (CVSS de 7.8/10) en SD-WAN. Esta falla podría ser explotada por actores maliciosos con el fin de obtener privilegios elevados en el sistema objetivo. La falla reside en las versiones 20.4 y 20.5 de SD-WAN y debe ser corregida actualizando a v20.4.2 o 20.5.1.
La compañía también lanzó parches para un par de vulnerabilidades en el software de la serie ASR 5000 (StarOS) que podrían explotarse para esquivar los controles de seguridad y ejecutar comandos CLI en un sistema vulnerable. Un informe completo de estas fallas puede encontrarse en las plataformas oficiales de Cisco.
Como de costumbre, Cisco invita a los usuarios de implementaciones vulnerables a actualizar a las versiones corregidas cuanto antes. La compañía concluyó su mensaje asegurando que hasta el momento no se han detectado intentos de explotación activa, aunque esta no es razón para no actualizar los sistemas afectados.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).