Actualización de Cisco que corrige vulnerabilidades DoS
- Dispositivos con versiones Cisco IOS XE previas a la 17.3.1 que tengan habilitada la funcionalidad NETCONF sobre SSH (esta funcionalidad no está habilitada por defecto);
- dispositivos con versiones de Cisco IOS y Cisco IOS XE, entre la 3SE y 3E, que tengan la funcionalidad HTTP habilitada;
- Cisco 1000 Series Connected Grid Router (CGR1K) que tengan integrado y habilitado el punto de acceso inalámbrico;
- conmutadores de la serie Cisco Catalyst Digital Building y micro conmutadores Cisco Catalyst con el Boot Loader en la versión 15.2(7r)E2:
- conmutadores de la serie Catalyst Digital Building versiones 15.2(5)EX y 15.2(7)E y anteriores, con identificador de producto (PID) CDB-8P y CDB-8U;
- Micro conmutadores Catalyst versiones 15.2(7)E y anteriores y 15.2(8)E con PID CMICR-4PS y CMICR-4PC.
- Dispositivos con Cisco IOS XE que tengan habilitada la funcionalidad AppNav-XE (esta funcionalidad está deshabilitada por defecto):
- 1000 Series Integrated Services Routers,
- 4000 Series Integrated Services Routers,
- ASR 1001-X Routers,
- ASR 1002-X Routers,
- Catalyst 8300 Series Routers,
- Catalyst 8500 Series Routers,
- Catalyst 8000V Edge Software,
- Cloud Services Router 1000V Series.
Cisco ha solucionado varias vulnerabilidades de severidad alta en los productos indicados en la sección de recursos afectados que permitirían a un ciberdelincuente generar condiciones de denegación de servicio (DoS).
Cisco ha publicado actualizaciones de software gratuitas que abordan estas vulnerabilidades para los clientes que tengan licencias de estos productos.
- Para solucionar estas vulnerabilidades:
- confirmar mediante comando que están habilitadas las funcionalidades vulnerables:
- NETCONF sobre SSH (‘show-running-config’);
- HTTP (‘show-running-config’);
- punto de acceso inalámbrico (‘show interface’);
- boot loader (‘show version’)
- AppNav-XE (‘show-running-config’ y ‘show service-insertion status’).
- confirmar que el software afectado está en una versión vulnerable en Cisco Software Checker;
- instalar una versión de software recomendada.
- confirmar mediante comando que están habilitadas las funcionalidades vulnerables:
- Migrar o actualizar el software de los conmutadores de la serie Cisco Catalyst Digital Building y Micro conmutadores Cisco Catalyst
- conmutadores de la serie Cisco Catalyst Digital Building según la versión afectada: migrar a una release corregida o actualizar a 15.2(7) E5;
- micro conmutadores Cisco Catalyst, según la versión afectada: actualizar a 15.2(7) E5 o a 15.2(8) E1.
En cualquier caso, Cisco advierte de que cada empresa debe asegurarse de que los dispositivos que se van a actualizar contienen suficiente memoria y confirmar que las configuraciones actuales de hardware y software seguirán siendo compatibles con la nueva versión. Ante cualquier duda, se aconseja a los clientes que se pongan en contacto con el Centro de Asistencia Técnica (TAC) de Cisco o con sus proveedores de mantenimiento contratados.
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017),y el el formulario web.
Las vulnerabilidades corregidas pueden dar lugar a condiciones de denegación de servicio:
- La vulnerabilidad que afecta a NETCONF sobre SSH se debe a una gestión insuficiente de los recursos. Un atacante remoto autenticado con bajos privilegios podría explotar esta vulnerabilidad iniciando un gran número de conexiones, utilizando el protocolo SSH y permitiéndole agotar estos recursos, haciendo que el dispositivo se recargue y por consiguiente provocando una condición de DoS.
- La vulnerabilidad que afecta al servicio HTTP se debe también a una gestión inadecuada de los recursos. Un atacante autenticado remoto podría explotar esta vulnerabilidad enviando un gran número de peticiones, utilizando el protocolo HTTP a un dispositivo afectado, lo que podría permitir al atacante hacer que el dispositivo se recargue, dando lugar a una condición de DoS.
- La vulnerabilidad que afecta al punto de acceso inalámbrico en el CGR1K se debe a la insuficiente validación de entrada del tráfico recibido. Un atacante, no autenticado, podría explotar esta vulnerabilidad enviando tráfico manipulado a un dispositivo afectado con lo que podría hacer que el punto de acceso integrado deje de procesar el tráfico, dando lugar a una condición de DoS, siendo necesario recargar manualmente el CGR1K para restaurar el funcionamiento del AP.
- Las vulnerabilidades que afectan a los conmutadores de la serie Digital Buliding Cisco Catalyst y a los micro conmutadores Cisco Catalyst podrían permitir a un atacante ejecutar código persistente en el momento del arranque o impedir permanentemente el arranque del dispositivo, lo que daría lugar a una condición de denegación de servicio (DoS) permanente.
- La vulnerabilidad de la funcionalidad AppNAV se debe al manejo incorrecto del protocolo TCP. Un atacante remoto, no autenticado, podría explotar esta vulnerabilidad enviando un tráfico TCP a gran velocidad hacia una interfaz de un dispositivo afectado con la funcionalidad AppNav activada, provocando que el dispositivo se recargue.