CISCO advierte sobre múltiples vulnerabilidades que afectan a los switches Small Business Series

CISCO advierte a sus clientes sobre múltiples vulnerabilidades que afectan a varios conmutadores de la serie Small Business. También indica que está disponible un código de explotación de prueba de concepto (PoC), sin embargo, no existe evidencia de explotación maliciosa activa.

Se reveló un total de 9 vulnerabilidades, 5 catalogadas con severidad alta y 4 como críticas que podrían ser explotadas por un atacante remoto no autenticado para ejecutar código arbitrario o causar una condición de denegación de servicio (DoS).

Descripción de las vulnerabilidades

Las 9 vulnerabilidades reveladas se deben a una validación incorrecta de las solicitudes que se envían a la interfaz web. Un atacante podría aprovechar estas vulnerabilidades enviando una solicitud manipulada a través de la interfaz de usuario basada en la web.

La explotación exitosa de una de las siguientes vulnerabilidades, catalogadas con severidad crítica, podría permitir que el atacante ejecute código arbitrario con privilegios de “root” en un dispositivo afectado.

CVE-2023-20159 (CVSS: 9.8): Es una vulnerabilidad de Stack Buffer Overflow.

CVE-2023-20160 (CVSS: 9.8): Es una vulnerabilidad de Unauthenticated BSS Buffer Overflow.

CVE-2023-20161 (CVSS: 9.8): Es una vulnerabilidad de Unauthenticated Stack Buffer Overflow Vulnerability.

CVE-2023-20189 (CVSS: 9.8): Es una vulnerabilidad de Unauthenticated Stack Buffer Overflow Vulnerability.

La explotación exitosa de una de las siguientes vulnerabilidades, catalogadas con severidad alta, podría permitir que el atacante provoque una condición DoS en un dispositivo afectado.

CVE-2023-20024 (CVSS: 8.6): Es una vulnerabilidad de Unauthenticated Heap Buffer Overflow.

CVE-2023-20156 (CVSS: 8.6): Es una vulnerabilidad de Unauthenticated Heap Buffer Overflow.

CVE-2023-20157 (CVSS: 8.6): Es una vulnerabilidad de Unauthenticated Heap Buffer Overflow.

CVE-2023-20158 (CVSS: 8.6): Es una vulnerabilidad de Unauthenticated Denial-of-Service.

La explotación exitosa de la siguiente vulnerabilidad, catalogada con severidad alta, podría permitir que el atacante lea información no autorizada en un dispositivo afectado.

CVE-2023-20162 (CVSS: 7.5): Es una vulnerabilidad de Unauthenticated Configuration Reading.

Productos afectados

Estas vulnerabilidades afectan a los siguientes switches Cisco Small Business si ejecutan una versión de firmware vulnerable:

  • 250 Series Smart Switches (versiones 2.5.9.15 y anteriores).
  • 350 Series Managed Switches (versiones 2.5.9.15 y anteriores).
  • 350X Series Stackable Managed Switches (versiones 2.5.9.15 y anteriores).
  • 550X Series Stackable Managed Switches (versiones 2.5.9.15 y anteriores).
  • Business 250 Series Smart Switches (versiones 3.3.0.15 y anteriores).
  • Business 350 Series Managed Switches (versiones 3.3.0.15 y anteriores).
  • Small Business 200 Series Smart Switches (todas las versiones).
  • Small Business 300 Series Managed Switches (todas las versiones).
  • Small Business 500 Series Stackable Managed Switches (todas las versiones).

Productos confirmados no vulnerables

Cisco ha confirmado que estas vulnerabilidades no afectan a los siguientes productos de Cisco:

  • 220 Series Smart Switches
  • Business 220 Series Smart Switches

Solución

  • Para los conmutadores 250 Series Smart Switches, 350 Series Managed Switches, 350X Series Stackable Managed Switches y 550X Series Stackable Managed Switches se debe actualizar a la versión 2.5.9.16.
  • Para los conmutadores Business 250 Series Smart Switches y Business 350 Series Managed Switches se debe actualizar a la versión 3.3.0.16.
  • Para los conmutadores Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches, Small Business 500 Series Stackable Managed Switches CISCO no lanzará un parche de actualización para corregir estas vulnerabilidades, debido a que ya han alcanzado su vida útil.

Recomendaciones

  • Se recomienda a los usuarios de estos productos que implementen las actualizaciones respectivas lo antes posible.

Referencias