Múltiples vulnerabilidades en productos Cisco

TEAM CSIRT
Graves vulnerabilidades en productos Cisco – Blog EHC Group

Cisco ha publicado un total de 15 boletines de seguridad para solucionar 16 vulnerabilidades en varios de sus productos.

Vulnerabilidad con severidad crítica:

  • CVE-2021-1577: Posee una valoración CVSS de 9.1/10. Se debe a un inadecuado control de acceso en la API de Cisco Application Policy Infrastructure Controller (APIC) y Cisco Cloud Application Policy Infrastructure Controller (Cloud APIC). Un atacante remoto no autenticado podría cargar un archivo en un dispositivo afectado y lograr acceso de lectura y escritura a archivos arbitrarios del sistema. Esta vulnerabilidad afecta a Cisco APIC y Cisco Cloud APIC.

Vulnerabilidades con severidad alta:

  • CVE-2021-1578: Posee una valoración CVSS de 8.8/10. Se debe a una configuración predeterminada de política incorrecta en la API de APIC y Cloud APIC, permite la elevación de privilegios a Administrador en un dispositivo afectado mediante el uso de una credencial sin privilegios para Cisco ACI Multi-Site Orchestrator (MSO) para enviar una solicitud específica a la API. Esta vulnerabilidad afecta a los dispositivos Cisco APIC o Cisco Cloud APIC si ejecutan una versión de software vulnerable y se cumplen las siguientes condiciones
    • El dispositivo es administrado por Cisco ACI MSO.
    • Cisco ACI MSO es de la versión 3.0 (2d) a la versión 3.1 (1i).
    • Cisco ACI MSO está instalado en un motor de servicios de aplicaciones de Cisco.

  • CVE-2021-1579: Posee una valoración CVSS de 8.1/10. Se debe a un control de acceso basado en roles (RBAC) insuficiente en la API de APIC y Cloud APIC, podría permitir a un atacante remoto autenticado con credenciales de administrador con permisos de solo lectura elevar privilegios a administrador con permisos de escritura en el sistema afectado. Esta vulnerabilidad afecta a los dispositivos Cisco APIC y Cisco Cloud APIC si tienen aplicaciones instaladas y habilitadas con privilegios de escritura de administrador.

  • CVE-2021-1586: Posee una valoración CVSS de 8.6/10. Se debe a un problema en las configuraciones de red Multi-Pod o Multi-Site para switches Cisco Nexus de la serie 9000 en modo Application Centric Infrastructure (ACI) al no filtrar adecuadamente el tráfico TCP enviado a un puerto específico. Podría permitir que un atacante remoto no autenticado causase el reinicio del dispositivo, generando una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a los conmutadores de estructura Cisco Nexus de la serie 9000 en modo ACI si tienen varios pod o varios sitios configurados y tienen una dirección IP configurada en la spine layer Inter-Pod Network (IPN) or Inter-Site Network (ISN) interface.

  • CVE-2021-1587: Posee una valoración CVSS de 8.6/10. Vulnerabilidad en la función de operación, administración y mantenimiento de VXLAN en el software Cisco NX-OS, debido al manejo inadecuado de determinados paquetes, que podría causar una denegación de servicio por parte de un atacante remoto no autenticado. Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del software Cisco NX-OS, tienen habilitada la función NGOAM y están configurados con un par de canal de puerto virtual (vPC):
    • Switches de la serie Nexus 3000Switches
    • Nexus de la serie 9000 en modo NX-OS independiente

  • CVE-2021-1588: Posee una valoración CVSS de 8.6/10. Vulnerabilidad en la función de operación, administración y mantenimiento (OAM) de MPLS del software Cisco NX-OS, se debe a una validación de entrada incorrecta cuando un dispositivo afectado está procesando una solicitud de eco MPLS o un paquete de respuesta de eco, podría permitir que un atacante remoto no autenticado cause una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del software Cisco NX-OS y tienen la función MPLS OAM habilitada:
    • Switches Nexus de la serie 3000 ( CSCvx66765 )
    • Switches Nexus de la serie 7000 ( CSCvx48078 )
    • Switches Nexus de la serie 9000 en modo NX-OS independiente ( CSCvx66765 )

  • CVE-2021-1523: Posee una valoración CVSS de 8.6/10. Se debe a un manejo inadecuado del tráfico TCP de entrada a un puerto específico en el modo Application Centric Infrastructure (ACI) en switches Cisco Nexus de la serie 9000, que podría causar que los paquetes de tráfico de red sean puestos en cola en los búferes pero nunca sean procesados. Tras caer en esta condición de denegación de servicio, se requiere de una intervención manual para apagar y encender el dispositivo. Esta vulnerabilidad afecta a los conmutadores de estructura Cisco Nexus de la serie 9000 en modo ACI que son modelos de generación 1.
    • N9K-C9372PX-E
    • N9K-C9372TX-E
    • N9K‑C9332PQ
    • N9K-C9372PX
    • N9K-C9372TX
    • N9K-C9396PX
    • N9K-C9396TX
    • N9K‑C93128TX
    • N9K-C93120TX

Vulnerabilidades con severidad media:

  • CVE-2021-1591: Posee una valoración CVSS de 5.8/10. Evadir reglas de la lista de control de acceso ACL, se debe a la suscripción excesiva de recursos que se produce al aplicar ACL a las interfaces del canal de puerto. podría permitir que un atacante remoto no autenticado eluda las reglas de la lista de control de acceso (ACL) que están configuradas en un dispositivo afectado, podría permitir al atacante acceder a recursos de red que estarían protegidos por la ACL que se aplicó en la interfaz del canal del puerto. Esta vulnerabilidad afectaba a los switches Cisco Nexus de la serie 9500.

  • CVE-2019-1727: Posee una valoración CVSS de 4.2/10. Elevación de privilegios, se debe a una desinfección insuficiente de los parámetros proporcionados por el usuario que se pasan a determinadas funciones de Python en la zona de pruebas de secuencias de comandos del dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad para escapar del entorno limitado de secuencias de comandos y ejecutar comandos arbitrarios para elevar el nivel de privilegios del atacante. Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del software Cisco NX-OS:
    • Switches multicapa serie MDS 9000
    • Switches de la serie Nexus 3000
    • Switches de plataforma Nexus 3500
    • Switches de plataforma Nexus 3600
    • Switches de plataforma Nexus 5500
    • Switches de plataforma Nexus 5600
    • Switches Nexus serie 6000
    • Switches Nexus de la serie 7000
    • Switches Nexus de la serie 7700
    • Switches Nexus de la serie 9000 en modo NX-OS independiente
    • Plataforma de conmutación Nexus 9500 serie R

  • CVE-2021-1584: Posee una valoración CVSS de 6.0/10. Elevación de privilegios, se debe a restricciones insuficientes durante la ejecución de un comando CLI específico. Un atacante con privilegios administrativos podría aprovechar esta vulnerabilidad realizando un ataque de inyección de comando en el comando vulnerable, permitiendo al atacante acceder al sistema operativo subyacente como root. Esta vulnerabilidad afectaba a los conmutadores de estructura Cisco Nexus de la serie 9000 en modo ACI.

  • CVE-2021-1580, CVE-2021-1581: Posee una valoración CVSS de 6.5/10. Posee una valoración CVSS de 6.0/10. Varias vulnerabilidades en la interfaz de usuario web y los puntos finales de API de Cisco Application Policy Infrastructure Controller (APIC) o Cisco Cloud APIC podrían permitir que un atacante remoto realice una inyección de comandos o un ataque de carga de archivos en un sistema afectado. Estas vulnerabilidades afectaban a Cisco APIC y Cloud APIC.

  • CVE-2021-1582: Posee una valoración CVSS de 5.4/10. Esta vulnerabilidad se debe a una validación de entrada incorrecta en la interfaz de usuario web. Un atacante autenticado envía información maliciosa a la interfaz de usuario web, permitiendo al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz basada en web o acceder a información confidencial basada en el navegador. Esta vulnerabilidad afectaba a Cisco APIC y Cisco Cloud APIC.

  • CVE-2021-1583: Posee una valoración CVSS de 4.4/10. Esta vulnerabilidad se debe a un control de acceso inadecuado. Un atacante con privilegios de administrador ejecutando un comando vulnerable específico en un dispositivo afectado, podría permitir al atacante leer archivos arbitrarios en el sistema de archivos del dispositivo afectado. Esta vulnerabilidad afecta a los conmutadores de estructura Cisco Nexus de la serie 9000 en modo ACI.

  • CVE-2021-1590: Posee una valoración CVSS de 5.3/10. Esta vulnerabilidad se debe a un error lógico en la implementación del comando de bloqueo de inicio de sesión del sistema cuando se detecta un ataque y se actúa sobre él. Un atacante realiza un ataque de inicio de sesión de fuerza bruta en un dispositivo afectado, permitiendo al atacante provocar la recarga de un proceso de inicio de sesión, lo que podría resultar en un retraso durante la autenticación en el dispositivo afectado. Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutaban una versión vulnerable del software Cisco NX-OS y tenían configurado el comando CLI system login block-for (bloqueo de inicio de sesión del sistema).
    • Switches multicapa de la serie MDS 9000 ( CSCuz49095 )
    • Switches Nexus de la serie 3000 ( CSCuz49095 )
    • Switches de plataforma Nexus 5500 ( CSCvw45963 )
    • Switches de plataforma Nexus 5600 ( CSCvw45963 )
    • Switches Nexus serie 6000 ( CSCvw45963 )
    • Switches Nexus de la serie 7000 ( CSCuz49095 )
    • Switches Nexus de la serie 9000 en modo NX-OS independiente ( CSCuz49095 )
    • Interconexiones de estructura UCS serie 6200 ( CSCvx74585 )
    • Interconexiones de estructura UCS serie 6300 ( CSCvx74585 )

  • CVE-2021-1592): Posee una valoración CVSS de 4.3/10. Esta vulnerabilidad se debe a una gestión de recursos inadecuada para las sesiones SSH establecidas. Un atacante abre una cantidad significativa de sesiones SSH en un dispositivo afectado, esto podría permitir que el atacante provoque un bloqueo y el reinicio de los procesos internos del software Cisco UCS Manager y una pérdida temporal de acceso a la CLI y la UI web de Cisco UCS Manager. Esta vulnerabilidad afectaba a los dispositivos Cisco UCS 6400 Series Fabric Interconnects.

Cisco ha publicado en su pagina oficial las actualizaciones de software de sus productos que abordan todas las vulnerabilidades mencionadas anteriormente.

Para mayor información:

  1. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-frw-Nt3RYxR2
  2. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-pesc-pkmGK4J
  3. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-chvul-CKfGYBh8
  4. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n9kaci-tcp-dos-YXukt6gM
  5. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ngoam-dos-LTDb9Hv
  6. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-mpls-oam-dos-sGO
  7. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n9kaci-queue-wedge-cLDDEfKF
  8. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-pyth-escal
  9. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-mdvul-HBsJBuvW
  10. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-scss-bFT75YrM
  11. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-naci-afr-UtjfO2D7
  12. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-naci-mdvul-vrKVgNU
  13. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nexus-acl-vrvQYPVe
  14. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-login-blockfor-RwjGVEcu
  15. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucs-ssh-dos-MgvmyrQy