Vulnerabilidades en Cisco 2023
En 2023 Cisco lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, en su mayoría clasificadas con una gravedad media, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.
A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas en Cisco durante el 2023. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad.
Tabla de contenidos
Vulnerabilidades en Cisco Mayo 2023
Múltiples vulnerabilidades en la interfaz de usuario basada en web de algunos switches Cisco Small Business Series podrían permitir a un atacante remoto no autenticado provocar una denegación de servicio (DoS) o ejecutar código arbitrario con privilegios de root en un dispositivo afectado. Estas vulnerabilidades se deben a una validación incorrecta de las peticiones que se envían a la interfaz web. Entre ellas se pueden encontrar 4 vulnerabilidades críticas que serán el foco de esta nota.
ANÁLISIS:
CVE-2023-20159 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:
Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.
Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.
CVE-2023-20160 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:
Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.
Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.
CVE-2023-20161 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:
Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.
Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.
CVE-2023-20189 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:
Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.
Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz de usuario basada en Web. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario con privilegios de root en un dispositivo afectado.
CVE-2023-20162 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5:
Una vulnerabilidad en la interfaz de usuario basada en web de los switches Cisco Small Business Series podría permitir a un atacante remoto no autenticado leer información no autorizada en un dispositivo afectado.
Esta vulnerabilidad se debe a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud falsificada a través de la interfaz basada en Web. Un ataque exitoso podría permitir al atacante leer información no autorizada en un dispositivo afectado.
VERSIONES AFECTADAS:
Firmware de los Smart Switches de la serie 250 versión 2.5.9.15 y anteriores
Firmware de los conmutadores gestionados de la serie 350, versión 2.5.9.15 y anteriores
Firmware de los conmutadores gestionados de la serie 350X: versión 2.5.9.15 y anteriores
Firmware de los conmutadores gestionados de la serie 550X: versión 2.5.9.15 y anteriores
Firmware de los Smart Switches de la serie Business 250, versión 3.3.0.15 y anteriores
Firmware de los conmutadores gestionados de la serie Business 350, versión 3.3.0.15 y anteriores
Firmware de los Smart Switches Small Business serie 200, versión 2.5.9.15 y anteriores
Firmware de los switches gestionados Small Business serie 300: versión 2.5.9.15 y anteriores
Firmware de los switches gestionados Small Business serie 500: versión 2.5.9.15 y anteriores
RECOMENDACIONES:
Actualiza a la versión del firmware de los Smart Switches de la serie 250 2.5.9.16
Actualiza a la versión del firmware de los conmutadores gestionados de la serie 3502.5.9.16
Actualiza a la versión del firmware de los conmutadores gestionados de la serie 350X 2.5.9.16
Actualiza a la versión del firmware de los conmutadores gestionados de la serie 550X 2.5.9.16
Actualiza a la versión del firmware de los Smart Switches de la serie Business 250 3.3.0.16
Actualiza a la versión del firmware de los conmutadores gestionados de la serie Business 350 3.3.0.16
Actualiza a la versión del firmware de los Smart Switches Small Business serie 200 2.5.9.16
Actualiza a la versión del firmware de los switches gestionados Small Business serie 300 2.5.9.16
Actualiza a la versión del firmware de los switches gestionados Small Business serie 500 2.5.9.16
REFERENCIAS:
Vulnerabilidades en Cisco Abril 2023
Se han publicado varias vulnerabilidades nuevas en productos de Cisco, de entre ellas 2 son de severidad crítica, 2 de severidad alta y 5 media. Se analizarán las siguientes: CVE-2023-20036, CVE-2023-20154 y CVE-2023-20046, CVE-2023-20117, CVE-2023-20128, CVE-2023-20121, CVE-2023-20122
ANÁLISIS
CVE-2023-20036 CVSS 9.9:
Una vulnerabilidad en la interfaz de usuario web de Cisco Industrial Network Director (IND) podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios con privilegios administrativos en el sistema operativo subyacente de un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada incorrecta al cargar un paquete de dispositivos. Un atacante podría explotar esta vulnerabilidad alterando la solicitud que se envía al cargar un Device Pack.
Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios como NT AUTHORITY\SYSTEM en el sistema operativo subyacente de un dispositivo afectado.
CVE-2023-20154 CVSS 9.1:
Una vulnerabilidad en el mecanismo de autenticación externa de Cisco Modeling Labs podría permitir a un atacante remoto no autenticado acceder a la interfaz web con privilegios administrativos. Esta vulnerabilidad se debe al manejo inadecuado de ciertos mensajes que son devueltos por el servidor de autenticación externa asociado. Un atacante podría explotar esta vulnerabilidad accediendo a la interfaz web de un servidor afectado. Bajo ciertas condiciones, el mecanismo de autenticación sería eludido y el atacante podría iniciar sesión como administrador.
Un ataque exitoso podría permitir al atacante obtener privilegios administrativos en la interfaz web de un servidor afectado, incluyendo la capacidad de acceder y modificar cada simulación y todos los datos creados por el usuario. Para explotar esta vulnerabilidad, el atacante necesitaría credenciales de usuario válidas almacenadas en el servidor de autenticación externo asociado.
CVE-2023-20046 CVSS 8.8:
Una vulnerabilidad en la función de autenticación SSH basada en claves del software Cisco StarOS podría permitir a un atacante remoto autenticado elevar privilegios en un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de las credenciales proporcionadas por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una clave SSH válida con privilegios bajos a un dispositivo afectado desde un host que tenga una dirección IP configurada como origen para una cuenta de usuario con privilegios altos.
Un exploit exitoso podría permitir al atacante iniciar sesión en el dispositivo afectado a través de SSH como un usuario con privilegios altos.
CVE-2023-20102 CVSS 8.8:
Una vulnerabilidad en la interfaz de gestión basada en web de Cisco Secure Network Analytics podría permitir a un atacante remoto autenticado ejecutar código arbitrario en el sistema operativo subyacente.
Esta vulnerabilidad se debe a un saneamiento insuficiente de los datos proporcionados por el usuario que se analizan en la memoria del sistema. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Un ataque exitoso podría permitir al atacante ejecutar código arbitrario en el sistema operativo subyacente como usuario administrador.
CVE-2023-20107 CVSS 7.5:
Una vulnerabilidad en el generador de bits aleatorios determinista (DRBG), también conocido como generador de números pseudoaleatorios (PRNG), en Cisco Adaptive Security Appliance (ASA) Software y Cisco Firepower Threat Defense (FTD) Software para Cisco ASA 5506-X, ASA 5508-X, y ASA 5516-X Firewalls podría permitir a un atacante no autenticado, remoto para causar una colisión criptográfica, permitiendo al atacante para descubrir la clave privada de un dispositivo afectado.
Esta vulnerabilidad se debe a una entropía insuficiente en el DRBG para las plataformas de hardware afectadas al generar claves criptográficas. Un atacante podría explotar esta vulnerabilidad generando un gran número de claves criptográficas en un dispositivo afectado y buscando colisiones con los dispositivos objetivo. Un ataque exitoso podría permitir al atacante hacerse pasar por un dispositivo de destino afectado o descifrar el tráfico protegido por una clave afectada que se envía hacia o desde un dispositivo de destino afectado.
VERSIONES AFECTADAS
CVE-2023-20036:
Industrial Network Director versiones anteriores a 1.10 y posteriores
CVE-2023-20154:
- Modeling Labs 2.3
- Modeling Labs 2.4
- Modeling Labs 2.5
CVE-2023-20046:
- Software StarOS versiones anteriores a 21.22
- Software StarOS 21.22
- Software StarOS 21.22.n
- Software StarOS 21.23
- Software StarOS 21.23.n
- Software StarOS 21.24
- Software StarOS 21.25
- Software StarOS 21.26
- Software StarOS 21.27
- Software StarOS 21.27.m
- Software StarOS 21.28
- Software StarOS 21.28.m
CVE-2023-20102:
- Secure Network Analytics Manager
- Secure Network Analytics Virtual Manager
- Stealthwatch Management Console 2200
CVE-2023-20107:
- Dispositivos de seguridad ASA 5506-X
- Dispositivos de seguridad ASA 5506H-X
- Dispositivos de seguridad ASA 5506W-X
- Dispositivos de seguridad ASA 5508-X
- Dispositivos de seguridad ASA 5516-X
Si se ejecutan versiones del software Cisco ASA anteriores a la versión 9.12.11 o versiones del software Cisco FTD anterior a la versión 6.4.0.
RECOMENDACIONES
CVE-2023-20036:
Actualice a la version de Industrial Network Director 1.11.3
CVE-2023-20154:
Actualice a la version de Modeling Labs 2.5.1
CVE-2023-20046:
Actualice a una de las siguientes versiones de Software StarOS:
- 21.22.n14
- 21.23.31
- 21.23.n12
- 21.25.15
- 21.26.17
- 21.27.6
- 21.27.m1
- 21.28.3
- 21.28.m4
Además, el CVE-2023-20107 tiene una solución temporal:
Para evitar el uso de claves criptográficas potencialmente débiles, los administradores pueden generar un par de claves y un certificado correspondiente en un dispositivo de confianza externo al dispositivo Cisco ASA o Cisco FTD y, a continuación, importar el archivo PKCS #12 codificado en base 64 que contiene las claves y los certificados al dispositivo Cisco ASA o Cisco FTD mediante el comando crypto ca import pkcs12 en el modo de configuración global.
REFERENCIAS
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ind-CAeLFk6V
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cml-auth-bypass-4fUCCeG5
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-staros-ssh-privesc-BmWeJC3h
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-stealthsmc-rce-sfNBPjcS
https://nvd.nist.gov/vuln/detail/CVE-2023-20107
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa5500x-entropy-6v9bHVYP
Vulnerabilidades en Cisco Marzo 2023
Se han publicado 18 vulnerabilidades de diversos productos de Cisco. En esta nota se cubrirán cuatro de ellas:
(CVE-2023-20055, CVE-2023-20027, CVE-2023-20072, CVE-2023-20080, CVE-2023-20049, CVE-2023-20078, CVE-2023-20079)
ANÁLISIS
CVE-2023-20055 CVSS 8:
Una vulnerabilidad en la API de gestión de Cisco DNA Center podría permitir a un atacante remoto autenticado elevar privilegios en el contexto de la interfaz de gestión basada en web en un dispositivo afectado. Esta vulnerabilidad se debe a la exposición involuntaria de información sensible. Un atacante podría explotar esta vulnerabilidad inspeccionando las respuestas de la API. En determinadas circunstancias, una explotación con éxito podría permitir al atacante acceder a la API con los privilegios de una cuenta de usuario de nivel superior. Para explotar con éxito esta vulnerabilidad, el atacante necesitaría al menos credenciales de Observador válidas.
CVE-2023-20027 CVSS 8.6:
Una vulnerabilidad en la implementación de la función IPv4 Virtual Fragmentation Reassembly (VFR) del software Cisco IOS XE podría permitir a un atacante remoto no autenticado provocar una denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe al reensamblaje incorrecto de paquetes de gran tamaño que se produce cuando VFR está activado en una interfaz de túnel o en una interfaz física configurada con una unidad de transmisión máxima (MTU) superior a 4.615 bytes. Un atacante podría aprovechar esta vulnerabilidad enviando paquetes fragmentados a través de una interfaz habilitada para VFR en un dispositivo afectado. Un ataque exitoso podría permitir al atacante causar la recarga del dispositivo, resultando en una condición de DoS.
CVE-2023-20072 CVSS 8.6:
Una vulnerabilidad en el código de manejo de fragmentación de paquetes de protocolo de túnel en el software Cisco IOS XE podría permitir a un atacante remoto no autenticado hacer que un sistema afectado se recargue, dando lugar a una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a la gestión inadecuada de grandes paquetes fragmentados de protocolo de túnel. Un ejemplo de protocolo de túnel es Generic Routing Encapsulation (GRE). Un atacante podría explotar esta vulnerabilidad enviando paquetes fragmentados a un sistema afectado. Un ataque exitoso podría permitir al atacante causar que el sistema afectado se recargue, resultando en una condición de DoS. Nota: Sólo el tráfico dirigido al sistema afectado puede ser utilizado para explotar esta vulnerabilidad.
CVE-2023-20080 CVSS 8.6:
Una vulnerabilidad en las funciones de servidor y retransmisión de DHCP IPv6 versión 6 (DHCPv6) del software Cisco IOS e IOS XE podría permitir a un atacante remoto no autenticado desencadenar una denegación de servicio (DoS). Esta vulnerabilidad se debe a una validación insuficiente de los límites de los datos. Un atacante podría explotar esta vulnerabilidad enviando mensajes DHCPv6 falsificados a un dispositivo afectado. Una explotación exitosa podría permitir al atacante hacer que el dispositivo se recargue inesperadamente.
CVE-2023-20049 CVSS 8.6:
Una vulnerabilidad en la función de descarga de hardware de detección de reenvío bidireccional (BFD) de varias versiones de routers podría permitir a un atacante remoto no autenticado provocar el reinicio de una tarjeta de línea, lo que daría lugar a una denegación de servicio (DoS).
CVE-2023-20078 CVSS 9.8:
Una vulnerabilidad en la interfaz de gestión basada en web de Cisco IP Phone podría permitir a un atacante no autenticado, remoto inyectar comandos arbitrarios que se ejecutan con privilegios de root. Esta vulnerabilidad se debe a la insuficiente validación de la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una solicitud a la web que gestiona la interfaz. Un ataque exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado.
CVE-2023-20079 CVSS 7.5:
Una vulnerabilidad en la interfaz de gestión basada en web de Cisco IP Phone podría permitir a un atacante remoto no autenticado hacer que un dispositivo afectado se recargue, dando lugar a una denegación de servicio (DoS) condición. Esta vulnerabilidad se debe a la insuficiente validación de la entrada proporcionada por el usuario. Un atacante podría aprovecharse de esta vulnerabilidad enviando una solicitud falsificada a la interfaz de gestión basada en web. Un ataque exitoso podría permitir al atacante causar una condición de DoS.
VERSIONES AFECTADAS
CVE-2023-20055:
Esta vulnerabilidad afecta a Cisco DNA Center en la configuración por defecto.
CVE-2023-20027:
- Enrutadores de servicios integrados de la serie 1000
- Enrutadores de servicios integrados de la serie 4000
- Enrutadores de software Catalyst 8000V Edge
- Plataformas Catalyst 8200 Series Edge
- Plataformas Catalyst 8300 Series Edge
- Plataformas Catalyst 8500L Series Edge
- Enrutador de servicios en la nube serie 1000V
CVE-2023-20072:
Esta vulnerabilidad afecta a los productos Cisco si ejecutan las versiones 17.9.1, 17.9.1a o 17.9.1w del software Cisco IOS XE y tienen configurada una interfaz de túnel.
CVE-2023-20080:
Esta vulnerabilidad afecta a los dispositivos Cisco si ejecutan una versión vulnerable del software Cisco IOS o IOS XE y tienen habilitados IPv6 y la función de servidor o retransmisor DHCPv6. IPv6 y DHCPv6 están desactivados en Cisco IOS e IOS XE por defecto.
CVE-2023-20049:
ASR 9000 Series Aggregation Services Routers sólo si tienen instalada una tarjeta de línea basada en Lightspeed o Lightspeed-Plus:
Para determinar qué tarjetas de línea están instaladas en el dispositivo, utilice el comando de la CLI show platform.
Las siguientes tarjetas de línea están basadas en Lightspeed:
- A9K-16X100GE-TR
- A99-16X100GE-X-SE
- A99-32X100GE-TR
Las siguientes tarjetas de línea están basadas en Lightspeed-Plus:
- A9K-4HG-FLEX-SE
- A9K-4HG-FLEX-TR
- A9K-8HG-FLEX-SE
- A9K-8HG-FLEX-TR
- A9K-20HG-FLEX-SE
- A9K-20HG-FLEX-TR
- A99-4HG-FLEX-SE
- A99-4HG-FLEX-TR
- A99-10X400GE-X-SE
- A99-10X400GE-X-TR
- A99-32X100GE-X-SE
- A99-32X100GE-X-TR
- ASR 9902 Routers compactos de alto rendimiento
- Enrutadores compactos de alto rendimiento ASR 9903
Para determinar qué tarjetas de línea tienen activada la descarga de hardware de BFD, utilice el comando de la CLI show bfd hw-offload state.
CVE-2023-20078:
- Teléfono IP Serie 6800 con Firmware Multiplataforma
- IP Phone 7800 Series con Firmware Multiplataforma
- Teléfono IP Serie 8800 con Firmware Multiplataforma
CVE-2023-20079:
- Teléfono IP Serie 6800 con Firmware Multiplataforma
- Teléfono IP Serie 7800 con Firmware Multiplataforma
- Teléfono IP Serie 8800 con Firmware Multiplataforma
- Teléfono de Conferencia IP Unificado 8831
- Unified IP Conference Phone 8831 con Firmware Multiplataforma
RECOMENDACIONES
Para cada vulnerabilidad actualice siguiendo las instrucciones proporcionadas por Cisco.
CVE-2023-20049:
Actualizar a la versión indicada para cada versión:
- 6.5 Migre a una versión fija.
- 6.6 Migre a una versión fija.
- 7.0 Migre a una versión fija.
- 7.1 Migre a una versión fija.
- 7.3 Migre a una versión fija.
- 7.4 Migre a una versión fija.
- 7.5 7.5.3
- 7.6 7.6.2
- 7.7 y posteriores 7.7.1
Cisco ha publicado las siguientes SMU para solucionar esta vulnerabilidad.
Nota: Se recomienda a los clientes que necesiten SMU para versiones que no aparezcan en la siguiente tabla que se pongan en contacto con su organización de soporte.
7.1.3 ASR9K-X64 asr9k-x64-7.1.3.CSCwc39336
7.3.2 ASR9K-X64 asr9k-x64-7.3.2.CSCwc39336
7.5.2 ASR9K-X64 asr9k-x64-7.5.2.CSCwc39336
En el aviso de seguridad se explican dos soluciones alternativas. La única solución que mitiga completamente esta vulnerabilidad es desactivar la descarga de hardware de BFD. La creación de listas de control de acceso a la infraestructura (iACL) es una solución que sólo limita la superficie de ataque.
CVE-2023-20078 y CVE-2023-20079:
Teléfonos IP de las series 6800, 7800 y 8800:
Cisco Multiplatform Firmware Release CVE-2023-20078 CVE-2023-20079
Anterior a 11.3.7SR1 11.3.7SR1 Migrar a una versión corregida.
12.0.1 No afectada. No afectado.
Unified IP Conference Phone 8831 y Unified IP Conference Phone 8831 con firmware multiplataforma han entrado en el proceso de fin de vida útil, por lo que no dispondrán de actualizaciones de software.
REFERENCIAS
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
https://nvd.nist.gov/vuln/detail/CVE-2023-20055
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-privesc-QFXe74RS
https://nvd.nist.gov/vuln/detail/CVE-2023-20027
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipv4-vfr-dos-CXxtFacb
https://nvd.nist.gov/vuln/detail/CVE-2023-20072
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-gre-crash-p6nE5Sq5
https://nvd.nist.gov/vuln/detail/CVE-2023-20080
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-dhcpv6-dos-44cMvdDK
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bfd-XmRescbT
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP