Los equipos de seguridad de Cisco han anunciado el lanzamiento de una serie de actualizaciones con el fin de abordar una falla crítica en Application Policy Infrastructure Controller (APIC) y Cloud APIC. La falla fue identificada como CVE-2021-1577 y recibió un puntaje de 9.1/10 según el Common Vulnerability Scoring System (CVSS).
Sobre la solución afectada, APIC es uno de los componentes principales de la solución de red definida por software Application Centric Infrastructure (ACI) de Cisco para centros de datos.
La compañía describió el problema como una lectura/escritura de archivos arbitrarios que existe debido a la aplicación errónea del control de acceso que los actores de amenazas podrían explotar para cargar archivos en un sistema afectado.
Por ahora no existen soluciones alternativas conocidas, por lo que se recomienda a los usuarios de versiones vulnerables (v3.2 y v5.1) actualizar sus implementaciones Cisco APIC y Cloud APIC a la brevedad.
Las actualizaciones incluyen una solución para dos fallas de alta severidad adicionales en APIC y Cloud APIC. Según el reporte, la explotación de estas vulnerabilidades permitiría a los actores de amenazas realizar ataques de escalada de privilegios en los sistemas vulnerables. Finalmente, Cisco señaló la corrección de otras vulnerabilidades de bajo riesgo, incluyendo una inyección de comandos y una falla de scripts entre sitios (XSS).
En un reporte separado, la compañía informó la corrección de dos fallas de alta severidad en NX-OS, además de dos errores en los switches de la serie Nexus 9000 que podrían llevar a un escenario de denegación de servicio (DoS).
Cisco afirma que ninguna de estas fallas fue explotada en escenarios reales. Un reporte de seguridad completo está disponible en las plataformas oficiales de la compañía.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.