Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación 10/04/2023
Identificador

INCIBE-2023-0130

Importancia
4 - Alta
Recursos Afectados
  • Cisco EPNM, Cisco ISE y Cisco Prime Infrastructure.
  • Routers VPN WAN Gigabit Dual RV320 y RV325 de Cisco Small Business.
  • Cisco Secure Network Analytics: Secure Network Analytics Manager, Secure Network Analytics Virtual Manager y Stealthwatch Management Console 2200.
Descripción

Cisco ha detectado 5 vulnerabilidades de severidad alta que podrían permitir:

  • a un atacante local autenticado, salir del shell restringido y obtener privilegios de root en el sistema operativo subyacente;
  • a un atacante remoto autenticado, inyectar y ejecutar comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado;
  • a un atacante remoto autenticado, ejecutar código arbitrario en el sistema operativo subyacente.
Solución

Actualizar a las versiones:

  • Cisco EPNM: 7.0.1 (julio de 2023).
  • Cisco ISE: 3.2P1.
  • Cisco Prime Infrastructure: actualizar a la versión correctora 3.10.4 (mayo de 2023).
  • Cisco Secure Network Analytics: 7.4.1-Patch SMC Rollup #5.

En cuanto a los routers VPN WAN Gigabit Dual RV320 y RV325 de Cisco Small Business, si la función de administración remota está habilitada, Cisco recomienda deshabilitarla para reducir la exposición a estas vulnerabilidades, ya que al tratarse de productos EOL no disponen (ni dispondrán) de actualizaciones, por lo que se recomienda migrar a otros productos con soporte de seguridad.

Detalle

Las vulnerabilidades de severidad alta detectadas se deben a la:

  • validación incorrecta de los parámetros: un atacante podría explotar esta vulnerabilidad iniciando sesión en un dispositivo y emitiendo un determinado comando CLI diseñado. Una explotación exitosa podría permitir al atacante salir del shell restringido y obtener privilegios de root en el sistema operativo subyacente del dispositivo afectado (CVE-2023-20122 y CVE-2023-20121).
  • validación insuficiente de la entrada: un atacante podría explotar estas vulnerabilidades enviando información maliciosa a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante ejecute comandos arbitrarios como usuario root en el sistema operativo Linux subyacente del dispositivo afectado (CVE-2023-20117 y CVE-2023-20128).
  • desinfección insuficiente de los datos: un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario en el sistema operativo subyacente como usuario root (VE-2023-20102).

Encuesta valoración

Listado de referencias
Cisco Evolved Programmable Network Manager, Cisco Identity Services Engine, and Cisco Prime Infrastructure Command Injection Vulnerabilities
Cisco Small Business RV320 and RV325 Dual Gigabit WAN VPN Routers Command Injection Vulnerabilities
Cisco Secure Network Analytics Remote Code Execution Vulnerability
Etiquetas