Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidades en Cisco 2023

21 Dec 2023

En 2023 Cisco lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, en su mayoría clasificadas con una gravedad media, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas en Cisco durante el 2023. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad.

Tabla de contenidos

Vulnerabilidades en Cisco 21 de diciembre 2023

INTRODUCCIÓN

Se ha detectado una vulnerabilidad en productos de pasarela de correo electrónico de varios proveedores, como Microsoft, GMX o Cisco. Aunque la vulnerabilidad se solucionó en los productos de GMX y Microsoft, sigue sin solucionarse en Cisco Secure Email Gateway y Cisco Secure Email Cloud Gateway, donde se considera una característica.

ANÁLISIS

La vulnerabilidad surge de las diferentes interpretaciones de la secuencia de fin de datos en los correos electrónicos (<CR><LF>.<CR><LF>), lo que permite el SMTP smuggling, en el que se pueden enviar correos falsos mientras se pasan las comprobaciones SPF.

VERSIONES AFECTADAS

  • Cisco Secure Email Gateway

  • Cisco Secure Email Cloud Gateway

RECOMENDACIONES

Cambie el manejo predeterminado de las configuraciones de retornos de carro y saltos de línea en los productos Cisco afectados a "Permitir" ("Allow") en lugar de "Limpiar"("Clean").

REFERENCIAS

https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/https://www.cisco.com/c/en/us/td/docs/security/esa/esa15-0/user_guide/b_ESA_Admin_Guide_15-0/b_ESA_Admin_Guide_12_1_chapter_0100.html?bookSearch=true#task_1254814__table_985308C400C84CE3BC190BC8A3A95D86

Vulnerabilidades en Cisco 2 de noviembre 2023

INTRODUCCIÓN

Cisco ha publicado su paquete semestral de avisos de seguridad del software Cisco ASA, FMC y FTD, que contiene 27 vulnerabilidades diferentes, de las cuales una es crítica. Para comprobar las vulnerabilidades no críticas, por favor, utilice el siguiente enlace.

ANÁLISIS

CVE-2023-20048 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:H - 9.9:

Una vulnerabilidad en la interfaz de servicios web del software Cisco Firepower Management Center (FMC) podría permitir a un atacante remoto autenticado ejecutar determinados comandos de configuración no autorizados en un dispositivo Firepower Threat Defense (FTD) gestionado por el software FMC.

Esta vulnerabilidad se debe a una autorización insuficiente de los comandos de configuración que se envían a través de la interfaz del servicio web. Un atacante podría aprovechar esta vulnerabilidad autenticándose en la interfaz de servicios web de FMC y enviando una solicitud HTTP manipulada a un dispositivo afectado. Un ataque exitoso podría permitir al atacante ejecutar ciertos comandos de configuración en el dispositivo FTD afectado. Para explotar con éxito esta vulnerabilidad, un atacante necesitaría credenciales válidas en el software FMC.

Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad.

VERSIONES AFECTADAS

Esta vulnerabilidad afecta a los productos Cisco si ejecutan una versión vulnerable del software Cisco FMC. Para ver las versiones vulnerables, consulte la información proporcionada por Cisco.

RECOMENDACIONES

Actualice siguiendo las instrucciones de Cisco.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-74985 
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-cmd-inj-29MP49hN 
https://nvd.nist.gov/vuln/detail/CVE-2023-20048

Vulnerabilidades en Cisco 17 de octubre 2023

INTRODUCCIÓN

Cisco es consciente de la explotación activa de una vulnerabilidad previamente desconocida en la función de interfaz de usuario web del software Cisco IOS XE cuando está expuesta a Internet o a redes no fiables.

ANÁLISIS

CVE-2023-20198 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10.0:

Esta vulnerabilidad permite a un atacante remoto no autenticado crear una cuenta en un sistema afectado con nivel de privilegio 15 de acceso. El atacante puede entonces utilizar esa cuenta para obtener el control del sistema afectado.

Cisco proporcionará actualizaciones sobre el estado de esta investigación y cuando haya un parche disponible.

VERSIONES AFECTADAS

Software Cisco IOS XE con la función de interfaz de usuario web activada

RECOMENDACIONES

Aunque no hay ningún parche disponible por el momento, hay varias acciones que los usuarios deberían realizar, como determinar si el sistema es vulnerable, ver si el sistema ha sido comprometido y tomar las medidas necesarias para protegerlo.

Determinación de la configuración del servidor HTTP

Para determinar si la función Servidor HTTP está activada en un sistema, inicie sesión en él y utilice el comando show running-config | include ip http server|secure|active en la CLI para comprobar la presencia del comando ip http server o del comando ip http secure-server en la configuración global. Si alguno de los comandos está presente, la función Servidor HTTP está activada para el sistema.

El siguiente ejemplo muestra la salida del comando show running-config | include ip http server|secure|active para un sistema que tiene la característica Servidor HTTP habilitada:

Router# show running-config | include ip http server|secure|active
servidor http ip
ip http secure-server
Nota: La presencia de uno o ambos comandos en la configuración del sistema indica que la característica de interfaz web está habilitada.

Si el comando ip http server está presente y la configuración también contiene ip http active-session-modules none, la vulnerabilidad no es explotable sobre HTTP.

Si el comando ip http secure-server está presente y la configuración también contiene ip http secure-active-session-modules none, la vulnerabilidad no es explotable sobre HTTPS.

Indicadores de compromiso

Para determinar si un sistema puede haber sido comprometido, realice las siguientes comprobaciones:

Compruebe los registros del sistema para detectar la presencia de cualquiera de los siguientes mensajes de registro en los que el usuario podría ser cisco_tac_admin, cisco_support o cualquier usuario local configurado desconocido para el administrador de red:

%SYS-5-CONFIG_P: Configurado programáticamente por el proceso SEP_webui_wsma_http desde la consola de usuario en la línea

%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
Nota: El mensaje %SYS-5-CONFIG_P estará presente para cada instancia en la que un usuario haya accedido a la interfaz web. El indicador que se debe buscar son los nombres de usuario nuevos o desconocidos presentes en el mensaje.

Compruebe los registros del sistema para el siguiente mensaje donde filename es un nombre de archivo desconocido que no se correlaciona con una acción de instalación de archivo esperado:

%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
Cisco Talos ha proporcionado el siguiente comando para comprobar la presencia del implante donde systemip es la dirección IP del sistema a comprobar. Este comando debe ejecutarse desde una estación de trabajo con acceso al sistema en cuestión:

curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"
Si la solicitud devuelve una cadena hexadecimal, el implante está presente.

Nota: Si el sistema está configurado sólo para acceso HTTP, utilice el esquema HTTP en el ejemplo de comando.

Los siguientes ID de regla Snort también están disponibles para detectar la explotación:

3:50118:2 - puede alertar de la inyección inicial del implante
3:62527:1 - puede alertar de la interacción del implante
3:62528:1 - puede alertar de la interacción del implante
3:62529:1 - puede alertar de la interacción del implante

Por último, Cisco recomienda encarecidamente que los clientes desactiven la función Servidor HTTP en todos los sistemas que se conecten a Internet. Para desactivar la función Servidor HTTP, utilice el comando no ip http server o no ip http secure-server en el modo de configuración global. Si tanto el servidor HTTP como el servidor HTTPS están en uso, se necesitan ambos comandos para desactivar la función Servidor HTTP.

El siguiente árbol de decisión puede utilizarse para ayudar a determinar cómo clasificar un entorno y desplegar protecciones:

¿Está ejecutando IOS XE?
No. El sistema no es vulnerable. No es necesario tomar ninguna otra medida.
Sí. ¿Está configurado ip http server o ip http secure-server?
No. La vulnerabilidad no es explotable. No es necesario tomar ninguna otra medida.
Sí. ¿Ejecuta servicios que requieren comunicación HTTP/HTTPS (por ejemplo, eWLC)?
No. Desactive la función Servidor HTTP.
Sí. Si es posible, restrinja el acceso a esos servicios a redes de confianza.
Cuando implemente controles de acceso para estos servicios, asegúrese de revisar los controles porque existe la posibilidad de que se interrumpan los servicios de producción. Si no está seguro de estos pasos, trabaje con su organización de soporte para determinar las medidas de control adecuadas.

Después de implementar cualquier cambio, utilice el comando copy running-configuration startup-configuration para guardar la configuración en ejecución. Esto asegurará que los cambios no se reviertan en caso de una recarga del sistema.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

https://nvd.nist.gov/vuln/detail/CVE-2023-20198

Vulnerabilidades en Cisco 24 de julio 2023

En 2022 Cisco lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas durante inyección de comandos en sus productos. Estas vulnerabilidades, en su mayoría clasificadas con una gravedad media, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades de inyección de comandos descubiertas en Cisco durante el 2022. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad por lo que es vital que todos los usuarios de Cisco actualicen sus dispositivos garantizar la total protección de sus redes.

ANÁLISIS

La vulnerabilidad se debe a la insuficiente validación de entrada de los datos suministrados por el usuario que se envían a la NX-API. Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP POST manipulada a la NX-API de un dispositivo afectado. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente. Tenga en cuenta que la función NX-API está desactivada por defecto [2].

RECOMENDACIONES

Cisco ha publicado actualizaciones de software que abordan esta vulnerabilidad. La actualización de software es la única solución para corregir la vulnerabilidad.

REFERENCIAS

Cisco NX-OS Software NX-API Command Injection Vulnerability 

Múltiples vulnerabilidades en dispositivos de Cisco | INCIBE  

Vulnerabilidades en Cisco 18 de mayo 2023

INTRODUCCIÓN

Múltiples vulnerabilidades en la interfaz de usuario basada en web de algunos switches Cisco Small Business Series podrían permitir a un atacante remoto no autenticado provocar una denegación de servicio (DoS) o ejecutar código arbitrario con privilegios de root en un dispositivo afectado. Estas vulnerabilidades se deben a una validación incorrecta de las peticiones que se envían a la interfaz web. Entre ellas se pueden encontrar 4 vulnerabilidades críticas que serán el foco de esta nota.

ANÁLISIS

CVE-2023-20159 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.

Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.

CVE-2023-20160 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.

Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.

CVE-2023-20161 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.

Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.

CVE-2023-20189 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.

Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.

CVE-2023-20162 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5:

Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado leer información no autorizada en un dispositivo afectado.

Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz basada en Web. Un ataque exitoso podría permitir al atacante leer información no autorizada en un dispositivo afectado.

VERSIONES AFECTADAS

  • Firmware de los Smart Switches de la serie 250 versión 2.5.9.15 y anteriores

  • Firmware de los conmutadores gestionados de la serie 350, versión 2.5.9.15 y anteriores

  • Firmware de los conmutadores gestionados de la serie 350X: versión 2.5.9.15 y anteriores

  • Firmware de los conmutadores gestionados de la serie 550X: versión 2.5.9.15 y anteriores

  • Firmware de los Smart Switches de la serie Business 250, versión 3.3.0.15 y anteriores

  • Firmware de los conmutadores gestionados de la serie Business 350, versión 3.3.0.15 y anteriores

  • Firmware de los Smart Switches Small Business serie 200, versión 2.5.9.15 y anteriores

  • Firmware de los switches gestionados Small Business serie 300: versión 2.5.9.15 y anteriores

  • Firmware de los switches gestionados Small Business serie 500: versión 2.5.9.15 y anteriores

RECOMENDACIONES

  • Actualiza a la versión del firmware de los Smart Switches de la serie 250 2.5.9.16

  • Actualiza a la versión del firmware de los conmutadores gestionados de la serie 3502.5.9.16

  • Actualiza a la versión del firmware de los conmutadores gestionados de la serie 350X 2.5.9.16

  • Actualiza a la versión del firmware de los conmutadores gestionados de la serie 550X 2.5.9.16

  • Actualiza a la versión del firmware de los Smart Switches de la serie Business 250 3.3.0.16

  • Actualiza a la versión del firmware de los conmutadores gestionados de la serie Business 350 3.3.0.16

  • Actualiza a la versión del firmware de los Smart Switches Small Business serie 200 2.5.9.16

  • Actualiza a la versión del firmware de los switches gestionados Small Business serie 300 2.5.9.16

  • Actualiza a la versión del firmware de los switches gestionados Small Business serie 500 2.5.9.16

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv#fs

Vulnerabilidades en Cisco 21 de abril 2023

INTRODUCCIÓN

Se han publicado varias vulnerabilidades nuevas en productos de Cisco, de entre ellas 2 son de severidad crítica, 2 de severidad alta y 1 media. Se analizarán las siguientes: CVE-2023-20036, CVE-2023-20154 y CVE-2023-20046.

ANÁLISIS

CVE-2023-20036 CVSS 9.9:

Una vulnerabilidad en la interfaz de usuario web de Cisco Industrial Network Director (IND) podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios con privilegios administrativos en el sistema operativo subyacente de un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada incorrecta al cargar un paquete de dispositivos. Un atacante podría explotar esta vulnerabilidad alterando la solicitud que se envía al cargar un Device Pack.

Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios como NT AUTHORITY\SYSTEM en el sistema operativo subyacente de un dispositivo afectado.

CVE-2023-20154 CVSS 9.1:

Una vulnerabilidad en el mecanismo de autenticación externa de Cisco Modeling Labs podría permitir a un atacante remoto no autenticado acceder a la interfaz web con privilegios administrativos. Esta vulnerabilidad se debe al manejo inadecuado de ciertos mensajes que son devueltos por el servidor de autenticación externa asociado. Un atacante podría explotar esta vulnerabilidad accediendo a la interfaz web de un servidor afectado. Bajo ciertas condiciones, el mecanismo de autenticación sería eludido y el atacante podría iniciar sesión como administrador.

Un ataque exitoso podría permitir al atacante obtener privilegios administrativos en la interfaz web de un servidor afectado, incluyendo la capacidad de acceder y modificar cada simulación y todos los datos creados por el usuario. Para explotar esta vulnerabilidad, el atacante necesitaría credenciales de usuario válidas almacenadas en el servidor de autenticación externo asociado.

CVE-2023-20046 CVSS 8.8:

Una vulnerabilidad en la función de autenticación SSH basada en claves del software Cisco StarOS podría permitir a un atacante remoto autenticado elevar privilegios en un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de las credenciales proporcionadas por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una clave SSH válida con privilegios bajos a un dispositivo afectado desde un host que tenga una dirección IP configurada como origen para una cuenta de usuario con privilegios altos.

Un exploit exitoso podría permitir al atacante iniciar sesión en el dispositivo afectado a través de SSH como un usuario con privilegios altos.

VERSIONES AFECTADAS

CVE-2023-20036:

Industrial Network Director versiones anteriores a 1.10 y posteriores

CVE-2023-20154:

  • Modeling Labs 2.3

  • Modeling Labs 2.4

  • Modeling Labs 2.5

CVE-2023-20046:

  • Software StarOS versiones anteriores a 21.22

  • Software StarOS 21.22

  • Software StarOS 21.22.n

  • Software StarOS 21.23

  • Software StarOS 21.23.n

  • Software StarOS 21.24

  • Software StarOS 21.25

  • Software StarOS 21.26

  • Software StarOS 21.27

  • Software StarOS 21.27.m

  • Software StarOS 21.28

  • Software StarOS 21.28.m

RECOMENDACIONES

CVE-2023-20036:

Actualice a la version de Industrial Network Director 1.11.3

CVE-2023-20154:

Actualice a la version de Modeling Labs 2.5.1

CVE-2023-20046:

Actualice a una de las siguientes versiones de Software StarOS:

  • 21.22.n14

  • 21.23.31

  • 21.23.n12

  • 21.25.15

  • 21.26.17

  • 21.27.6

  • 21.27.m1

  • 21.28.3

  • 21.28.m4

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ind-CAeLFk6V
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cml-auth-bypass-4fUCCeG5
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-staros-ssh-privesc-BmWeJC3h

Vulnerabilidades en Cisco 6 de abril 2023

INTRODUCCIÓN

Se han encontrado múltiples vulnerabilidades en productos Cisco de entre las cuáles se cubrirán en esta alerta las más críticas.

Entre las menos críticas que no se cubrirán en esta alerta se encuentran:
CVE-2023-20117, CVE-2023-20128, CVE-2023-20121, CVE-2023-20122

ANÁLISIS

CVE-2023-20102 CVSS 8.8:

Una vulnerabilidad en la interfaz de gestión basada en web de Cisco Secure Network Analytics podría permitir a un atacante remoto autenticado ejecutar código arbitrario en el sistema operativo subyacente.

Esta vulnerabilidad se debe a un saneamiento insuficiente de los datos proporcionados por el usuario que se analizan en la memoria del sistema. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Un ataque exitoso podría permitir al atacante ejecutar código arbitrario en el sistema operativo subyacente como usuario administrador.

CVE-2023-20107 CVSS 7.5:

Una vulnerabilidad en el generador de bits aleatorios determinista (DRBG), también conocido como generador de números pseudoaleatorios (PRNG), en Cisco Adaptive Security Appliance (ASA) Software y Cisco Firepower Threat Defense (FTD) Software para Cisco ASA 5506-X, ASA 5508-X, y ASA 5516-X Firewalls podría permitir a un atacante no autenticado, remoto para causar una colisión criptográfica, permitiendo al atacante para descubrir la clave privada de un dispositivo afectado.

Esta vulnerabilidad se debe a una entropía insuficiente en el DRBG para las plataformas de hardware afectadas al generar claves criptográficas. Un atacante podría explotar esta vulnerabilidad generando un gran número de claves criptográficas en un dispositivo afectado y buscando colisiones con los dispositivos objetivo. Un ataque exitoso podría permitir al atacante hacerse pasar por un dispositivo de destino afectado o descifrar el tráfico protegido por una clave afectada que se envía hacia o desde un dispositivo de destino afectado.

VERSIONES AFECTADAS

CVE-2023-20102:

  • Secure Network Analytics Manager

  • Secure Network Analytics Virtual Manager

  • Stealthwatch Management Console 2200

CVE-2023-20107:

  • Dispositivos de seguridad ASA 5506-X

  • Dispositivos de seguridad ASA 5506H-X

  • Dispositivos de seguridad ASA 5506W-X

  • Dispositivos de seguridad ASA 5508-X

  • Dispositivos de seguridad ASA 5516-X

Si se ejecutan versiones del software Cisco ASA anteriores a la versión 9.12.11 o versiones del software Cisco FTD anterior a la versión 6.4.0.

RECOMENDACIONES

En todas las vulnerabilidades actualice a la última versión.

Además, el CVE-2023-20107 tiene una solución temporal:

Para evitar el uso de claves criptográficas potencialmente débiles, los administradores pueden generar un par de claves y un certificado correspondiente en un dispositivo de confianza externo al dispositivo Cisco ASA o Cisco FTD y, a continuación, importar el archivo PKCS #12 codificado en base 64 que contiene las claves y los certificados al dispositivo Cisco ASA o Cisco FTD mediante el comando crypto ca import pkcs12 en el modo de configuración global.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-stealthsmc-rce-sfNBPjcS
https://nvd.nist.gov/vuln/detail/CVE-2023-20107
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa5500x-entropy-6v9bHVYP

Vulnerabilidades en Cisco 24 de marzo 2023

INTRODUCCIÓN

Se han publicado 18 vulnerabilidades de diversos productos de Cisco. En esta nota se cubrirán cuatro de ellas:

(CVE-2023-20055, CVE-2023-20027, CVE-2023-20072, CVE-2023-20080 )

ANÁLISIS

CVE-2023-20055 CVSS 8:

Una vulnerabilidad en la API de gestión de Cisco DNA Center podría permitir a un atacante remoto autenticado elevar privilegios en el contexto de la interfaz de gestión basada en web en un dispositivo afectado. Esta vulnerabilidad se debe a la exposición involuntaria de información sensible. Un atacante podría explotar esta vulnerabilidad inspeccionando las respuestas de la API. En determinadas circunstancias, una explotación con éxito podría permitir al atacante acceder a la API con los privilegios de una cuenta de usuario de nivel superior. Para explotar con éxito esta vulnerabilidad, el atacante necesitaría al menos credenciales de Observador válidas.

CVE-2023-20027 CVSS 8.6:

Una vulnerabilidad en la implementación de la función IPv4 Virtual Fragmentation Reassembly (VFR) del software Cisco IOS XE podría permitir a un atacante remoto no autenticado provocar una denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe al reensamblaje incorrecto de paquetes de gran tamaño que se produce cuando VFR está activado en una interfaz de túnel o en una interfaz física configurada con una unidad de transmisión máxima (MTU) superior a 4.615 bytes. Un atacante podría aprovechar esta vulnerabilidad enviando paquetes fragmentados a través de una interfaz habilitada para VFR en un dispositivo afectado. Un ataque exitoso podría permitir al atacante causar la recarga del dispositivo, resultando en una condición de DoS.

CVE-2023-20072 CVSS 8.6:

Una vulnerabilidad en el código de manejo de fragmentación de paquetes de protocolo de túnel en el software Cisco IOS XE podría permitir a un atacante remoto no autenticado hacer que un sistema afectado se recargue, dando lugar a una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a la gestión inadecuada de grandes paquetes fragmentados de protocolo de túnel. Un ejemplo de protocolo de túnel es Generic Routing Encapsulation (GRE). Un atacante podría explotar esta vulnerabilidad enviando paquetes fragmentados a un sistema afectado. Un ataque exitoso podría permitir al atacante causar que el sistema afectado se recargue, resultando en una condición de DoS. Nota: Sólo el tráfico dirigido al sistema afectado puede ser utilizado para explotar esta vulnerabilidad.

CVE-2023-20080 CVSS 8.6:

Una vulnerabilidad en las funciones de servidor y retransmisión de DHCP IPv6 versión 6 (DHCPv6) del software Cisco IOS e IOS XE podría permitir a un atacante remoto no autenticado desencadenar una denegación de servicio (DoS). Esta vulnerabilidad se debe a una validación insuficiente de los límites de los datos. Un atacante podría explotar esta vulnerabilidad enviando mensajes DHCPv6 falsificados a un dispositivo afectado. Una explotación exitosa podría permitir al atacante hacer que el dispositivo se recargue inesperadamente.

VERSIONES AFECTADAS

CVE-2023-20055:

Esta vulnerabilidad afecta a Cisco DNA Center en la configuración por defecto.

CVE-2023-20027:

  • Enrutadores de servicios integrados de la serie 1000

  • Enrutadores de servicios integrados de la serie 4000

  • Enrutadores de software Catalyst 8000V Edge

  • Plataformas Catalyst 8200 Series Edge

  • Plataformas Catalyst 8300 Series Edge

  • Plataformas Catalyst 8500L Series Edge

  • Enrutador de servicios en la nube serie 1000V

CVE-2023-20072:

Esta vulnerabilidad afecta a los productos Cisco si ejecutan las versiones 17.9.1, 17.9.1a o 17.9.1w del software Cisco IOS XE y tienen configurada una interfaz de túnel.

CVE-2023-20080:

Esta vulnerabilidad afecta a los dispositivos Cisco si ejecutan una versión vulnerable del software Cisco IOS o IOS XE y tienen habilitados IPv6 y la función de servidor o retransmisor DHCPv6. IPv6 y DHCPv6 están desactivados en Cisco IOS e IOS XE por defecto.

RECOMENDACIONES

Para cada vulnerabilidad actualice siguiendo las instrucciones proporcionadas por Cisco.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://nvd.nist.gov/vuln/detail/CVE-2023-20055
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-privesc-QFXe74RS
https://nvd.nist.gov/vuln/detail/CVE-2023-20027
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipv4-vfr-dos-CXxtFacb
https://nvd.nist.gov/vuln/detail/CVE-2023-20072
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-gre-crash-p6nE5Sq5
https://nvd.nist.gov/vuln/detail/CVE-2023-20080
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-dhcpv6-dos-44cMvdDK

Vulnerabilidades en Cisco 13 de marzo 2023

INTRODUCCIÓN

Se han encontrado múltiples vulnerabilidades en Cisco que afectan tanto a routers (CVE-2023-20049) como a teléfonos IP (CVE-2023-20078, CVE-2023-20079).

ANÁLISIS

CVE-2023-20049 CVSS 8.6:

Una vulnerabilidad en la función de descarga de hardware de detección de reenvío bidireccional (BFD) de varias versiones de routers podría permitir a un atacante remoto no autenticado provocar el reinicio de una tarjeta de línea, lo que daría lugar a una denegación de servicio (DoS).

CVE-2023-20078 CVSS 9.8:

Una vulnerabilidad en la interfaz de gestión basada en web de Cisco IP Phone podría permitir a un atacante no autenticado, remoto inyectar comandos arbitrarios que se ejecutan con privilegios de root. Esta vulnerabilidad se debe a la insuficiente validación de la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una solicitud a la web que gestiona la interfaz. Un ataque exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado.

CVE-2023-20079 CVSS 7.5:

Una vulnerabilidad en la interfaz de gestión basada en web de Cisco IP Phone podría permitir a un atacante remoto no autenticado hacer que un dispositivo afectado se recargue, dando lugar a una denegación de servicio (DoS) condición. Esta vulnerabilidad se debe a la insuficiente validación de la entrada proporcionada por el usuario. Un atacante podría aprovecharse de esta vulnerabilidad enviando una solicitud falsificada a la interfaz de gestión basada en web. Un ataque exitoso podría permitir al atacante causar una condición de DoS.

Versiones afectadas:

CVE-2023-20049:

ASR 9000 Series Aggregation Services Routers sólo si tienen instalada una tarjeta de línea basada en Lightspeed o Lightspeed-Plus:

Para determinar qué tarjetas de línea están instaladas en el dispositivo, utilice el comando de la CLI show platform.

Las siguientes tarjetas de línea están basadas en Lightspeed:

  • A9K-16X100GE-TR

  • A99-16X100GE-X-SE

  • A99-32X100GE-TR

Las siguientes tarjetas de línea están basadas en Lightspeed-Plus:

  • A9K-4HG-FLEX-SE

  • A9K-4HG-FLEX-TR

  • A9K-8HG-FLEX-SE

  • A9K-8HG-FLEX-TR

  • A9K-20HG-FLEX-SE

  • A9K-20HG-FLEX-TR

  • A99-4HG-FLEX-SE

  • A99-4HG-FLEX-TR

  • A99-10X400GE-X-SE

  • A99-10X400GE-X-TR

  • A99-32X100GE-X-SE

  • A99-32X100GE-X-TR

  • ASR 9902 Routers compactos de alto rendimiento

  • Enrutadores compactos de alto rendimiento ASR 9903

Para determinar qué tarjetas de línea tienen activada la descarga de hardware de BFD, utilice el comando de la CLI show bfd hw-offload state.

CVE-2023-20078:

  • Teléfono IP Serie 6800 con Firmware Multiplataforma

  • IP Phone 7800 Series con Firmware Multiplataforma

  • Teléfono IP Serie 8800 con Firmware Multiplataforma

CVE-2023-20079:

  • Teléfono IP Serie 6800 con Firmware Multiplataforma

  • Teléfono IP Serie 7800 con Firmware Multiplataforma

  • Teléfono IP Serie 8800 con Firmware Multiplataforma

  • Teléfono de Conferencia IP Unificado 8831

  • Unified IP Conference Phone 8831 con Firmware Multiplataforma

RECOMENDACIONES

CVE-2023-20049:

Actualizar a la versión indicada para cada versión:

  • 6.5 Migre a una versión fija.

  • 6.6 Migre a una versión fija.

  • 7.0 Migre a una versión fija.

  • 7.1 Migre a una versión fija.

  • 7.3 Migre a una versión fija.

  • 7.4 Migre a una versión fija.

  • 7.5 7.5.3

  • 7.6 7.6.2

  • 7.7 y posteriores 7.7.1

Cisco ha publicado las siguientes SMU para solucionar esta vulnerabilidad.

Nota: Se recomienda a los clientes que necesiten SMU para versiones que no aparezcan en la siguiente tabla que se pongan en contacto con su organización de soporte.

7.1.3     ASR9K-X64     asr9k-x64-7.1.3.CSCwc39336
7.3.2     ASR9K-X64     asr9k-x64-7.3.2.CSCwc39336
7.5.2     ASR9K-X64     asr9k-x64-7.5.2.CSCwc39336

En el aviso de seguridad se explican dos soluciones alternativas. La única solución que mitiga completamente esta vulnerabilidad es desactivar la descarga de hardware de BFD. La creación de listas de control de acceso a la infraestructura (iACL) es una solución que sólo limita la superficie de ataque.

CVE-2023-20078 y CVE-2023-20079:

Teléfonos IP de las series 6800, 7800 y 8800:

Cisco Multiplatform Firmware Release CVE-2023-20078 CVE-2023-20079

Anterior a 11.3.7SR1 11.3.7SR1 Migrar a una versión corregida.
12.0.1 No afectada. No afectado.

Unified IP Conference Phone 8831 y Unified IP Conference Phone 8831 con firmware multiplataforma han entrado en el proceso de fin de vida útil, por lo que no dispondrán de actualizaciones de software.

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bfd-XmRescbT
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP

Vulnerabilidades en Cisco 17 de febrero 2023

INTRODUCCIÓN

Cisco ha notificado una vulnerabilidad de severidad crítica en el analizador de archivos de partición HFS+ de ClamAV. (CVE-2023-20032)

ANÁLISIS

La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo.

Esta vulnerabilidad se debe a una falta de comprobación del tamaño del búfer que puede resultar en un desbordamiento de escritura del búfer. Un atacante podría explotar esta vulnerabilidad enviando un archivo de partición HFS+ manipulado para ser escaneado por ClamAV en un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario con los privilegios del proceso de escaneo de ClamAV, o bien bloquear el proceso, resultando en una condición de denegación de servicio (DoS).

La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable. Puntuación CVSS: 9.8

Versiones afectadas:

  • Secure Web Appliance: versiones anteriores a 15.0.0-254

  • Secure Endpoint Private Cloud: versiones anteriores a 3.6.0

  • Secure Endpoint para Windows: versiones anteriores a 8.1.5

  • Secure Endpoint para macOS: versiones anteriores a 1.21.1

  • Secure Endpoint para Linux: versiones anteriores a 1.20.2

RECOMENDACIONES

Instale la actualización desde el sitio web del proveedor:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-q8DThCy#vp

REFERENCIAS

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-q8DThCy
https://www.cybersecurity-help.cz/vdb/SB2023021570
https://vuldb.com/es/?id.221154
https://securityonline.info/cve-2023-20032-critical-rce-vulnerability-in-clamav/
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/desbordamiento-bufer-productos-cisco

Vulnerabilidades en Cisco 12 de enero 2023

INTRODUCCIÓN

Cisco ha advertido hoy a sus clientes de una vulnerabilidad crítica de evasión de autenticación con código de explotación público que afecta a varios routers VPN de fin de vida (EoL).

El fallo de seguridad (CVE-2023-20025) ha sido detectado por Hou Liuyang, de Qihoo 360 Netlab, en la interfaz de gestión basada en web de los routers Cisco Small Business RV016, RV042, RV042G y RV082.

ANÁLISIS

La causa de esta vulnerabilidad es una validación incorrecta de la entrada del usuario en los paquetes HTTP entrantes. Los atacantes no autenticados pueden explotarlo remotamente enviando una petición HTTP especialmente diseñada a la interfaz de gestión basada en web de los routers vulnerables para saltarse la autenticación.
(CVSS score: 9.0)

Versiones afectadas:

Routers Cisco Small Business RV016, RV042, RV042G y RV082.

RECOMENDACIONES

No existen soluciones que solucionen estas vulnerabilidades. Sin embargo, los administradores pueden mitigar las vulnerabilidades desactivando la gestión remota y bloqueando el acceso a los puertos 443 y 60443. Los routers seguirán siendo accesibles a través de la interfaz LAN una vez implementada la mitigación.

Cisco no ha publicado ni publicará actualizaciones de software para solucionar las vulnerabilidades descritas en su informe. Los routers Cisco Small Business RV016, RV042, RV042G y RV082 han entrado en el proceso de fin de vida útil.

Para más detalles sobre cómo mitigar estas vulnerabilidades ver el apartado "Workarounds": https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-sbr042-multi-vuln-ej76Pke5.html

REFERENCIAS

https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-sbr042-multi-vuln-ej76Pke5.html
https://securityonline.info/cve-2023-20025-authentication-bypass-vulnerability-in-cisco-small-business-rv016-rv042-rv042g-and-rv082-routers/
https://vuldb.com/?id.218028
https://www.bleepingcomputer.com/news/security/cisco-warns-of-auth-bypass-bug-with-public-exploit-in-eol-routers/
https://www.cybersecurity-help.cz/vdb/SB2023011144

Artículos relacionados
Ver todas →
Alertas
Múltiples vulnerabilidades críticas en dnsmasq
Leer más →
Alertas
Actualizaciones críticas de VMware vCenter Server
Leer más →
Alertas
Vulnerabilidad crítica en Confluence Server y Data Center
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día