Vulnerabilidad en Cisco Small Business SPA300 Series y SPA500 Series

En el sitio oficial de Cisco Security Advisory, se publicaron diversas vulnerabilidades el día 7 de agosto de 2024. Entre estas vulnerabilidades, varias de ellas se dedicaron un espacio conjunto porque afectan al mismo equipo y hacen posible el mismo resultado. [1] 

El primer conjunto de vulnerabilidades afecta a los equipos Cisco Small Business SPA300 Series y a los SPA500 Series IP Phones.  

Específicamente, se trata de vulnerabilidades que afectan la interfaz web (Web UI), permitiendo la ejecución arbitraria de código. Estas múltiples vulnerabilidades permiten a un atacante remoto no autenticado ejecutar código arbitrario en el sistema subyacente con privilegios de root. [1] 

Las vulnerabilidades se identificaron como CVE-2024-20450, CVE-2024-20452, y CVE-2024-20454, con un impacto alto y un puntaje CVSS de 9.8. La causa de estas vulnerabilidades se deriva de paquetes HTTP que no son verificados adecuadamente contra errores, lo que puede resultar en un desbordamiento de búfer. Esto hace posible que un atacante elabore solicitudes HTTP a un dispositivo afectado, permitiendo desbordar el búfer interno y ejecutar código arbitrario con privilegios de root. [1] 

Otras vulnerabilidades descritas en el boletín de Cisco también afectan a los Cisco Small Business SPA300 Series y SPA500 Series IP Phones, permitiendo un ataque de denegación de servicio (DoS). [1] 

Estas vulnerabilidades se denominan CVE-2024-20451 y CVE-2024-20453, ambas con un impacto alto y un puntaje CVSS de 7.5. 

Cisco no ha lanzado actualizaciones de software que parcheen estas vulnerabilidades y no existen soluciones alternativas (workarounds) publicadas. [1]  

Versiones Afectadas

Afecta a todas las versiones de Cisco Small Business SPA300 Series y SPA500 Series IP Phones.
Ambos modelos están al final de su vida útil, y por esta razón, Cisco ha indicado que no actualizará el software para parchar dichas vulnerabilidades.
Se recomienda migrar a versiones posteriores. [1] 

Recomendaciones

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

• Migrar a dispositivos más recientes para suplir a los Cisco Small Business SPA300 Series y SPA500 Series IP Phones. 

Referencias

1. Cisco. (2024, Agosto 7). Cisco Small Business SPA300 Series and SPA500 Series IP Phones Web UI Vulnerabilities. Recuperado el 7 de agosto del 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-http-vulns-RJZmX2Xz 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios