Vulnerabilidades críticas impactan Elastic Services Controller de Cisco

Expertos en seguridad de aplicaciones web reportan una vulnerabilidad crítica en Elastic Services Controller (ESC), de Cisco, que podría permitir a un hacker remoto no autenticado tomar control por completo del sistema comprometido empleando solamente una solicitud especialmente diseñada.

ESC es un administrador de funciones de red virtual empleado por cientos de compañías para automatizar la implementación y el monitoreo de las tareas realizadas en sus máquinas virtuales; la vulnerabilidad, rastreada como CVE-2019-1867, es un error de omisión de autenticación y ha recibido un puntaje de 10/10 en la escala del Common Vulnerability Scoring System (CVSS), lo que la convierte en una falla crítica.

“El error podría permitir a un atacante esquivar el proceso de autenticación en la REST API de ESC”, menciona un comunicado de la compañía. Los expertos en seguridad de aplicaciones web mencionan que Cisco lanzó las correcciones para la vulnerabilidad hace un par de días; se recomienda a los usuarios instalar las actualizaciones, ya que no existen soluciones alternativas conocidas.

La compañía menciona que la vulnerabilidad existe debido a una incorrecta validación de solicitudes API en la función REST, que es un método para permitir la comunicación entre un cliente y un servidor basado en la web empleando restricciones de REST.

Un potencial atacante sólo tendría que enviar una solicitud especialmente diseñada a la API REST para explotar la vulnerabilidad; en caso de ser explotada con éxito, la falla permitiría al actor de amenazas ejecutar acciones arbitrarias usando la API REST con privilegios de administrador, mencionan los expertos en seguridad de aplicaciones web.

La vulnerabilidad fue descubierta durante una auditoría de seguridad interna de Cisco; la compañía ha reportado que ésta impacta a ESC con software de las versiones 4.1, 4.2, 4.3 y 4.4 con la API REST habilitada. Cabe mencionar que API REST no se encuentra habilitada de forma predeterminada en Cisco ESC.

Apenas hace unos días, Cisco había lanzado correcciones para dos vulnerabilidades críticas que, de ser explotadas, podrían haber permitido a los hackers desplegar ataques de denegación de servicio (DoS) contra algunas implementaciones de firewall de la compañía.

Acorde a los especialistas del Instituto Internacional de Seguridad Cibernética (IICS), por el momento no existe evidencia para demostrar que la vulnerabilidad haya sido explotada en escenarios reales.