Vulnerabilidad en Cisco Group Encrypted Transport VPN (GET VPN) (CVE-2023-20109)

Una vulnerabilidad en la función Cisco Group Encrypted Transport VPN (GET VPN) del software Cisco IOS y del software Cisco IOS XE podría permitir que un atacante remoto autenticado que tiene control administrativo de un miembro del grupo o de un servidor de claves ejecute código arbitrario en un dispositivo afectado o haga que el dispositivo se bloquee. Esta vulnerabilidad se debe a una validación insuficiente de los atributos en los protocolos de dominio de interpretación de grupo (GDOI) y G-IKEv2 de la función GET VPN. Un atacante podría aprovechar esta vulnerabilidad comprometiendo un servidor de claves instalado o modificando la configuración de un miembro del grupo para que apunte a un servidor de claves controlado por el atacante. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario y obtener control total del sistema afectado o hacer que el sistema afectado se recargue, lo que resultaría en una condición de denegación de servicio (DoS). Para obtener más información, consulte la sección Detalles ["#details"] de este aviso.