Cisco ha emitido seis avisos de seguridad relacionados con una pila de vulnerabilidades en su producto Data Center Network Manager, después de que fueron compartidos por el investigador de seguridad Steven Seeley.
Los defectos sacan a relucir problemas como las claves de cifrado "estáticas" (codificadas) en el producto de infraestructura de red ampliamente utilizado. Tres fallas subyacentes podrían permitir a un atacante remoto obtener derechos de administrador y tomar el control de un dispositivo afectado. Seeley enumera 120 ejemplos de las fallas en su blog Source Incite, que se han compartido a través del programa de recompensas de errores Zero Day Initiative de Trend Micro, lo que le da a Cisco la oportunidad de obtener soluciones.
El parcheo es urgente, utilizando actualizaciones de software de Cisco, ya que Seeley le dijo a CBR que los errores son fáciles de explotar. Para demostrarlo, lanzará exploits para los defectos, que encontró durante una auditoría exhaustiva y compartió de manera responsable a través del programa de recompensas de errores. “Tomó un mes de auditoría; una revisión adecuada del código fuente y depuración en tiempo de ejecución ", dijo a CBR.
Los errores se etiquetan de manera diferente en los avisos de Cisco y en la Iniciativa de día cero. Tres vulnerabilidades tratadas por una actualización crítica de Cisco tienen una puntuación de 9.8 en el sistema de puntuación de vulnerabilidad crítica (CVSS).
Dos de ellos, que Cisco designa CVE-2019-15975 y CVE-2019-15976, son causados por DCNM que comparte una clave de cifrado estático entre las instalaciones en los puntos finales API REST y SOAP API respectivamente. El tercero, CVE-2019-15977, es causado por el uso de credenciales estáticas en la interfaz de administración basada en la web.
Hay siete vulnerabilidades de alto nivel, dos de las cuales son causadas por fallas de inyección SQL, tres por errores de recorrido de la ruta y dos por condiciones de inyección de comandos. Eso deja dos errores de nivel medio, basados en una vulnerabilidad de acceso de lectura de entidad externa XML y una vulnerabilidad de acceso no autorizado JBoss EAP.
¿Por qué Steven Seeley, también conocido como @mr_me, se embarcó en la principal auditoría de seguridad de DCNM? Podría tener algo que ver con el equipo de seguridad de Talos de Cisco que deja pasar la oportunidad de contratar a Seeley a principios de año, después de un largo proceso de entrevistas.