La interfaz web de Cisco Prime se ve afectada por un par de fallas de seguridad cuya explotación exitosa permitiría a los actores de amenazas desplegar ataques de ejecución remota de código (RCE). Esta es una solución de gestión de redes que permite realizar tareas de supervisión, optimización y resolución de problemas en dispositivos inalámbricos y cableados.
El investigador Andreas Finstad, a cargo del reporte menciona que al ser encadenadas, estas fallas podrían comprometer completamente el servidor Prime y proporcionar al atacante un shell inverso. Al parecer, las fallas existen debido a un vector de scripts entre sitios (XSS) que se explota a través de SNMP, protocolo utilizado para descubrir dispositivos en una red.
Acorde al reporte, Cisco Prime envía solicitudes SNMP para la recopilación de información sobre dispositivos de red en la misma red, entre lo que se incluye la dirección de un archivo de imagen. Finstad colcó un dispositivo basado en Linux en la red y estableció la dirección de imagen en un fragmento JavaScript malicioso alojado en un servidor controlado por el investigador, actuando como atacante. Cuando el servidor del usuario afectado navega a la página de descubrimiento de dispositivos de Prime, el script malicioso se carga y ejecuta en el navegador, resultando en un ataque XSS.
Abusando de esta característica, el investigador pudo explotar otras vulnerabilidades de forma encadenada, comenzando por explotar una falla de cookie de identificación de sesión almacenada en LocalStorage, permitiendo acceder a la sesión activa del administrador afectado.
Usando el token de administrador robado, el investigador también trató de enviar comandos a la interfaz de administración de Prime. Como la mayoría de las aplicaciones web, la interfaz de administración de Prime evita tales comandos, aunque el abuso de una función para la generación de tokens eventualmente permitió evadir las protecciones contra la falsificación de solicitudes entre sitios (CSRF).
Este informe señala la frecuencia con la que pueden encontrarse vulnerabilidades similares en la protección de aplicaciones web: “Desde una perspectiva de seguridad, el navegador no está bajo control del cliente, por lo que es mejor verificar la seguridad del lado del usuario”, menciona el experto.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
