La compañía tecnológica Cisco ha publicado un nuevo reporte de ciberseguridad para informar la corrección de una vulnerabilidad crítica el motor de descompresión zip del producto Cisco AsyncOS, de Cisco Email Security Appliance (ESA), identificada como CVE-2020-3134. Acorde al reporte, podría permitir que un atacante remoto no autenticado genere una condición de denegación de servicio (DoS) en un dispositivo afectado.
En el informe, la compañía menciona que la vulnerabilidad existe debido a una validación incorrecta de los archivos zip. Un actor de amenazas podría abusar de esta vulnerabilidad enviando un mensaje vía email con un archivo comprimido adjunto. De ser explotada exitosamente, la vulnerabilidad desencadenaría un reinicio del proceso de escaneo del contenido comprimido, derivando en la condición DoS temporal.
Los especialistas en ciberseguridad del Common Vulnerability Scoring System (CVSS) asignaron a esta falla un puntaje de 6.5/10, pues representa una amenaza para los dispositivos que emplean este producto de la compañía. La corrección para esta falla ya ha sido lanzada, aunque Cisco ha emitido algunas recomendaciones para usuarios de versiones no actualizadas: “Las versiones de Cisco ESA 6.0.1 y anteriores han dejado de recibir mantenimiento de software. Se recomienda a los usuarios de estas versiones migrar a una versión compatible, pues éstas ya cuentan con protección contra esta vulnerabilidad”, menciona el aviso de la compañía. Además, la compañía menciona que no existen soluciones alternativas, por lo que es necesario instalar las actualizaciones.
En su alerta de ciberseguridad la compañía también reconoció a los investigadores Johan Anderström Y Michael Venema por el reporte de la vulnerabilidad. A pesar de que no se tienen reportes de explotación de esta falla en escenarios reales, se recomienda encarecidamente a los usuarios instalar las correcciones lo más pronto posible y así mitigar cualquier riesgo de explotación, pues no hay que olvidar que se trata de una falla de seguridad crítica. El reporte completo sobre esta falla y sus parches de actualización se encuentra en las plataformas oficiales de la compañía.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), el más reciente conjunto de actualizaciones lanzado por Cisco incluye correcciones para 7 vulnerabilidades de alta gravedad, además de 18 fallas de severidad media. La información completa sobre esta actualización está disponible en la página oficial de Cisco.
