Los atacantes podrían usar el fallo para ejecutar su propio código en los servidores de videoconferencias de Cisco. Cisco parchea fallos críticos en productos de colaboración.
La empresa ha reparado dos errores críticos que podrían permitir a los atacantes escribir archivos y ejecutar código arbitrario en sus productos de videoconferencias y colaboración. Cada error afecta a una serie de servidores de colaboración Cisco Expressway de la empresa. También a su servidor de comunicación de vídeo TelePresence (VCS).
La primera vulnerabilidad, CVE-2022-20754, permite que un atacante remoto escriba archivos en el sistema. Se encuentra en la API de la base de datos del clúster de productos, que no valida correctamente la entrada del usuario. Esto permite a los atacantes autenticarse como administradores y después enviar entradas maliciosas a través de un ataque transversal de directorio. Después podrían escribir sus propios archivos con privilegios de root, incluida la sobreescritura de archivos existentes en el sistema operativo.
Cisco parchea fallos críticos en productos de colaboración
La segunda, CVE-2022-20755, permite que un atacante ejecute código arbitrario al explotar la interfaz de administración web de los productos. Un atacante podría iniciar sesión como administrador y después crear una entrada maliciosa que le permita ejecutar su propio código como root.
Estas vulnerabilidades, cada una de las cuales tiene una puntuación CVSS de 9.0, no dependen unas de otras, dijo Cisco. Se les dice a los clientes que instalen ambos parches para proteger sus sistemas.
Cisco Expressway es una serie de dispositivos que admiten la colaboración con usuarios fuera del fiirewall de la empresa. El sistema, que funciona sin necesidad de un cliente VPN, admite vídeo, voz y mensajería instantánea. Los usuarios también pueden ver la información de presencia de los demás.
TelePresence VCS es un servidor para administrar sesiones de videoconferencia. Funciona como un dispositivo en las instalaciones de un cliente o en la nube y admite la comunicación entre diferentes plataformas de videoconferencia.
TelePresence VCS no se vende desde diciembre de 2020. Cisco dejará de emitir parches de mantenimiento de software para este producto el 29 de diciembre de este año. Dejará también de brindar soporte por completo a finales de 2023.