Cisco publica parches para 3 nuevas fallas que afectan el software NFVIS empresarial

Cisco Systems envió el miércoles parches de seguridad para contener tres fallas que afectan su software de infraestructura Enterprise NFV ( NFVIS ) que podría permitir que un atacante se comprometa por completo y tome el control de los hosts.

Rastreadas como CVE-2022-20777, CVE-2022-20779 y CVE-2022-20780, las vulnerabilidades «podrían permitir que un atacante escape de la máquina virtual invitada (VM) a la máquina host, inyectar comandos que se ejecutan en la raíz o filtrar datos del sistema del host a la VM», dijo la compañía .

Cyrille Chatras, Pierre Denouel y Loïc Restoux de Orange Group son acreditados por descubrir y reportar los problemas. Se han publicado actualizaciones en la versión 4.7.1.

La compañía de equipos de red dijo que las fallas afectan a Cisco Enterprise NFVIS en la configuración predeterminada. Los detalles de los tres errores son los siguientes:

• CVE-2022-20777 (puntuación CVSS: 9,9): un problema con restricciones de invitado insuficientes que permite que un atacante remoto autenticado escape de la máquina virtual invitada para obtener acceso no autorizado a nivel raíz en el host NFVIS.

• CVE-2022-20779 (puntaje CVSS: 8.8): una falla de validación de entrada incorrecta que permite que un atacante remoto no autenticado inyecte comandos que se ejecutan en el nivel raíz en el host NFVIS durante el proceso de registro de imágenes.

• CVE-2022-20780 (puntuación CVSS: 7,4): una vulnerabilidad en la función de importación de Cisco Enterprise NFVIS que podría permitir que un atacante remoto no autenticado acceda a la información del sistema desde el host en cualquier máquina virtual configurada.

Cisco también abordó recientemente una falla de alta gravedad en su software Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) que podría permitir que un atacante remoto autenticado, pero sin privilegios, eleve los privilegios al nivel 15.