Sistemas Afectados
- Todas las versiones de Cisco Industrial Network Director (Cisco IND)
Descripción
Cisco ha lanzado actualizaciones de seguridad para abordar las graves fallas de seguridad en sus productos que podrían ser explotadas por actores malintencionados para ejecutar código arbitrario en sistemas afectados. La vulnerabilidad más grave es una falla de inyección de comandos en Cisco Industrial Network Director (CVE-2023-20036, puntuación CVSS: 9.9), que reside en el componente web UI y surge como resultado de una validación inadecuada al cargar un paquete de dispositivo.
“Un exploit exitoso podría permitir que un atacante ejecute comandos arbitrarios como NT AUTHORITY\SYSTEM en el sistema operativo subyacente de un dispositivo afectado”, dijo Cisco en un informe publicado el 19 de abril de 2023.
Referencia
- CVE-2023-20036
- Cisco: Release Notes for Industrial Network Director, Release 1.11.x
- Cisco Security Advisory: Cisco Industrial Network Director Vulnerabilities
Solución
Se recomienda a los usuarios y administradores de sistemas que apliquen el parche 1.11.3, lanzado por Cisco para remediar esta vulnerabilidad.