Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Small Business Switches de Cisco

Fecha de publicación 30/01/2020
Importancia
4 - Alta
Recursos Afectados
  • Los siguientes productos Cisco que utilicen un firmware anterior a la versión 2.5.0.92:
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches;
    • 550X Series Stackable Managed Switches.
  • Los siguientes productos Cisco que utilicen un firmware anterior a la versión 1.4.11.4:
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches.
  • Los siguientes productos Cisco que utilicen un firmware anterior a la versión 1.3.7.18:
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches.
Descripción

El investigador, Ken Pyle, de DFDR Consulting LLC, ha notificado a Cisco la existencia de dos vulnerabilidades de criticidad alta en sus Small Business Switches. Un atacante remoto, sin autenticación, podría generar una condición de denegación de servicio (DoS) o acceder a información sensible de los dispositivos.

Solución
  • Actualizar los siguientes productos de Cisco a la versión de firmware 2.5.0.92: (CVE-2019-15993)
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches;
    • 550X Series Stackable Managed Switches.
  • Actualizar los siguientes productos de Cisco a la versión de firmware 1.4.11.4: (CVE-2019-15993)
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches.
  • Actualizar los siguientes productos de Cisco a la versión de firmware 1.3.7.18: (CVE-2020-3147)
    • 200 Series Smart Switches;
    • 300 Series Managed Switches;
    • 500 Series Stackable Managed Switches.
Detalle
  • Una vulnerabilidad en la interfaz de usuario web podría permitir a un atacante remoto, no autenticado, enviar una petición HTTP maliciosa y obtener información sensible del dispositivo. Se ha reservado el identificador CVE-2019-15993 para esta vulnerabilidad.
  • Una falta de validación en las peticiones enviadas a la interfaz web podrían permitir a un atacante remoto enviar peticiones maliciosas y generar una condición de denegación de servicio (DoS) en el dispositivo. Se ha asignado el identificador CVE-2020-3147 para esta vulnerabilidad.

Encuesta valoración