Vulnerabilidad en Cisco Secure Client para Windows con Secure Firewall Posture Engine DLLs Ricking

Una vulnerabilidad en el canal de comunicación interproceso (IPC) de Cisco Secure Client for Windows podría permitir a un atacante local autenticado realizar un ataque de secuestro de DLL

Durante estos días, Cisco ha emitido un comunicado informando una vulnerabilidad en el canal de comunicación interproceso (IPC) de Cisco Secure Client for Windows podría permitir a un atacante local autenticado realizar un ataque de secuestro de DLL en un dispositivo afectado si el Secure Firewall Posture Engine, anteriormente HostScan, está instalado en Cisco Secure Client.

Esta vulnerabilidad se debe a la insuficiente validación de los recursos que cargan la aplicación en el momento de la ejecución. Un atacante podría explotar esta vulnerabilidad enviando un mensaje IPC elaborado a un proceso específico de Cliente Seguro de Cisco. Una hazaña exitosa podría permitir al atacante ejecutar código arbitrario en la máquina afectada con privilegios SYSTEM. Para explotar esta vulnerabilidad, el atacante debe tener credenciales de usuario válidas en el sistema Windows.

Hasta el momento, Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones que aborden esta vulnerabilidad.

(Descripción detallada de la vulnerabilidad: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-secure-dll-injection-AOyzEqSg)

Productos vulnerables

Esta vulnerabilidad afecta a Cisco Secure Client for Windows cuando tiene instalado el Secure Firewall Posture Engine.

Nota: El motor de postura de cortafuegos seguro no debe confundirse con el módulo de correo ISE. El módulo de la postura de ISE no se ve afectado por esta vulnerabilidad.

Para obtener información sobre qué lanzamientos de software de Cisco son vulnerables, consulte la sección de Software Fija de Cisco sobre este asesoramiento.

Productos confirmados no vulnerables

Sólo se sabe que los productos enumerados en la sección de Productos Vulnerables de este asesoramiento se ven afectados por esta vulnerabilidad.

Cisco ha confirmado que esta vulnerabilidad no afecta a los siguientes productos de Cisco:

  • Cliente seguro para sistemas operativos de dispositivos móviles como iOS, Android y Universal Windows Plataform
  • Cliente seguro para Linux
  • Cliente seguro para macOS

Software fijo

Cisco ha publicado actualizaciones de software libre que abordan la vulnerabilidad descrita en este asesoramiento. Los clientes con contratos de servicio que les dan derecho a actualizaciones regulares de software deben obtener correcciones de seguridad a través de sus canales de actualización habituales .Los clientes sólo pueden instalar y esperar soporte para versiones de software y juegos de características para los que han comprado una licencia. Al instalar, descargar, acceder o usar de alguna otra manera dichas actualizaciones de software, los clientes aceptan seguir los términos de la licencia de software de Cisco: https://www.cisco.com/c/en/us/products/enduser-license-agreement.html

Además, los clientes sólo pueden descargar un software para el que tengan una licencia válida, adquirida directamente desde Cisco o a través de un revendedor autorizado o socio de Cisco. En la mayoría de los casos, se trata de una actualización de mantenimiento al software que se compró previamente. Las actualizaciones de software de seguridad libre no dan derecho a los clientes a una nueva licencia de software, conjuntos de funciones de software adicionales o actualizaciones de revisión importantes.

La página de soporte y descargas de Cisco en Cisco.com proporciona información sobre licencias y descargas. Esta página también puede mostrar la cobertura de atención al dispositivo del cliente para los clientes que utilizan la herramienta My Devices. Al considerar actualizaciones de software, se aconseja a los clientes consultar regularmente los avisos para los productos de Cisco, que están disponibles en la página de Cisco Security Advisories, para determinar la exposición y una solución de actualización completa. En todos los casos, los clientes deben asegurarse de que los dispositivos que se van a actualizar contengan memoria suficiente y confirmar que las configuraciones actuales de hardware y software seguirán siendo compatibles adecuadamente con la nueva versión. Si la información no está clara, se aconseja a los clientes que se pongan en contacto con el Centro de Asistencia Técnica de Cisco (TAC) o con sus proveedores de mantenimiento contratados.

Clientes sin contratos de servicio

Los clientes que compran directamente de Cisco pero no tienen un contrato de servicio de Cisco y los clientes que realizan compras a través de proveedores de terceros pero no logran obtener software fijo a través de su punto de venta deben obtener actualizaciones poniéndose en contacto con el Cisco TAC: https://www.cisco.com/c/en/us/support/web/tsd-cisco-world-contacts.html

Los clientes deben tener el número de serie del producto disponible y estar preparados para proporcionar la URL de este asesoramiento como prueba del derecho a una actualización gratuita.

Liberaciones Fijas

Se aconseja a los clientes que se actualicen a una versión adecuada de software fijo, como se indica en la siguiente tabla:

El Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) valida sólo la información afectada y de liberación fija que está documentada en este asesoramiento.

Clientes sin contratos de servicio

Los clientes que compran directamente de Cisco pero no tienen un contrato de servicio de Cisco y los clientes que realizan compras a través de proveedores de terceros pero no logran obtener software fijo a través de su punto de venta deben obtener actualizaciones poniéndose en contacto con el Cisco TAC: https://www.cisco.com/c/en/us/support/web/tsd-cisco-world-contacts.html

Los clientes deben tener el número de serie del producto disponible y estar preparados para proporcionar la URL de este asesoramiento como prueba del derecho a una actualización gratuita.

Explotación y Anuncios Públicos

El Cisco PSIRT no tiene conocimiento de ningún anuncio público o uso malicioso de la vulnerabilidad que se describe en este asesoramiento.

Fuente

Cisco agradece a Wayne Low de Synapxe por reportar esta vulnerabilidad.

Scroll al inicio