Alertas de seguridad

Vulnerabilidad crítica en Cisco WebEx, teléfonos IP y UCS Director

Diversos investigadores han descubierto 18 vulnerabilidades, 11 de severidad crítica y 7 altas, de tipo de ejecución remota de código, denegación de servicio, omisión de autenticación, acceso a directorios no controlado, desbordamiento de búfer y Cross-Site Request Forgery.

Los especialistas en seguridad en la nube aconsejan a los administradores verificar si sus teléfonos IP ya han recibido la actualización de firmware correspondiente. Por ahora, se desconoce la existencia de soluciones alternativas, por lo que es necesario instalar la actualización de Cisco.

Además de estas fallas, Cisco emitió parches de seguridad para corregir otras nueve vulnerabilidades de omisión de autenticación en la API REST de Cisco UCS Director y Cisco UCS Director Express para compañías tecnológicas

Vulnerabilidad Cisco WebEx - IP - UCS Director

Estas vulnerabilidades también se identifican con los siguientes CVE:
CVE-2020-3239, CVE-2020-3240, CVE-2020-3243, CVE-2020-3247, CVE-2020-3248, CVE-2020-3249, CVE-2020-3250, CVE-2020-3251, CVE-2020-3252, CVE-2016-1421, CVE-2020-3273, CVE-2020-3262, CVE-2020-3194, CVE-2020-3261, CVE-2020-3162, CVE-2020-3177 y CVE-2020-3260.


Recursos afectados

  • IP Phone 7811, 7821, 7841, 7861, 8811, 8841, 8845, 8851, 8861 y 8865 Desktop Phones
  • Unified IP Conference Phone 8831
  • Wireless IP Phone 8821 y 8821-EX
  • Cisco UCS Director, versiones 6.0.0.0, 6.0.0.1, 6.0.1.0, 6.0.1.1, 6.0.1.2, 6.0.1.3, 6.5.0.0, 6.5.0.1, 6.5.0.2, 6.5.0.3, 6.5.0.4, 6.6.0.0, 6.6.1.0, 6.6.2.0, 6.7.0.0, 6.7.1.0, 6.7.2.0 y 6.7.3.0
  • Cisco UCS Director Express para Big Data, versiones 3.7.3.0 y anteriores
  • Dispositivos Cisco si están ejecutando una versión vulnerable de Cisco WLC Software
  • Cisco Access Points (AP) que actúan como controladores Mobility Express si están ejecutando una versión vulnerable de Cisco WLC Software
  • Cisco Webex Meetings, todas la versiones Webex Network Recording Player y Webex Player anteriores a WBS 39.5.18 o WBS 40.2
  • Cisco Webex Meetings Online, todas la versiones Webex Network Recording Player y Webex Player anteriores a 1.3.48
  • Cisco Webex Meetings Server, todas las versiones Webex Network Recording Player anteriores a 4.0MR3
  • Aironet 1540/1560/1800/2800/3800/4800 Series Access Points
  • Catalyst IW6300 Access Points
  • 6300 Embedded Services Access Points
  • Cisco IoT Field Network Director, versiones anteriores a 4.6
  • Cisco Unified Communications Manager (UCM) y Cisco UCM Session Management Edition (SME), versiones 10.5 y anteriores, 11.0, 11.5, 12.0 y 12.5, cuando la funcionalidad auto-registration está activada.

 

Acciones recomendadas 

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden descargarse desde el panel de descarga de Software Cisco.

Se recomienda a los administradores actualizar a UCS Director Release 6.7.4.0 y UCS Director Express Release 3.7.4.0 para solucionar estos inconvenientes.

Hasta el momento no se cuenta con soluciones alternas a realizar el upgrade para cada producto afectado.