CISCO ha emitido un aviso dirigido a sus clientes sobre vulnerabilidades que afectan a varios productos. En total, se han identificado y dado a conocer seis vulnerabilidades, clasificadas en severidad alta y media. Estas vulnerabilidades podrían ser aprovechadas por un atacante para llevar a cabo acciones que pongan en riesgo tanto la seguridad de los productos en cuestión como la de los usuarios que los utilizan.
Detalle de vulnerabilidades
- CVE-2023-20200 → Puntaje base CVSS: 7.7 (alta)
La vulnerabilidad de denegación de servicio (DoS) en SNMP que afecta a los dispositivos Cisco Firepower 4100 Series, Firepower 9300 Security Appliances y UCS 6300 Series Fabric Interconnects es causada por un manejo inapropiado de solicitudes SNMP específicas.
Un posible atacante podría aprovechar esta vulnerabilidad al enviar una solicitud SNMP manipulada a un dispositivo que se encuentra en riesgo. Si esta explotación tiene éxito, el atacante podría inducir al dispositivo afectado a reiniciarse, lo que resultaría en una situación de DoS.
Es importante notar que esta vulnerabilidad abarca todas las versiones compatibles de SNMP. Para aprovechar esta debilidad a través de SNMPv2c o versiones anteriores, el atacante debe estar al tanto de la cadena de comunidad SNMP configurada en el dispositivo vulnerable. En el caso de SNMPv3, el atacante necesita tener credenciales válidas para un usuario de SNMP configurado en el dispositivo en riesgo.
- CVE-2023-20169 → Puntaje base CVSS: 7.4(alta)
Esta vulnerabilidad en la seguridad que afecta al protocolo IS-IS en los switches Cisco Nexus de las series 3000 y 9000 es causada por una validación insuficiente de las entradas al analizar un paquete de entrada IS-IS.
Un atacante podría explotar esta vulnerabilidad al enviar un paquete IS-IS manipulado a un dispositivo que esté vulnerable. Si la explotación tiene éxito, el atacante podría desencadenar un ataque de DoS al forzar un reinicio inesperado del proceso IS-IS. Esto a su vez podría provocar que el dispositivo afectado se reinicie nuevamente.
Es importante destacar que, para aprovechar esta vulnerabilidad, el atacante debe estar en la misma Capa 2 de red que el dispositivo afectado, dado que el protocolo IS-IS es un protocolo de enrutamiento que opera en esta capa.
- CVE-2023-20168 → Puntaje base CVSS: 7.1 (alta)
Esta vulnerabilidad relacionada con la solicitud dirigida de autenticación remota TACACS+ o RADIUS en el software Cisco NX-OS, ocurre debido a una validación incorrecta de la entrada durante el proceso de autenticación, en caso de que la opción de solicitud específica esté habilitada para TACACS+ o RADIUS.
Un posible atacante tendría la oportunidad de explotar esta vulnerabilidad introduciendo datos manipulados en el campo de inicio de sesión de un dispositivo afectado. Si logra ejecutar esta acción de manera exitosa, podría ocasionar que el dispositivo en cuestión se reinicie de forma inesperada, generando así una situación de DoS.
- CVE-2023-20230 → Puntaje base CVSS: 5.4 (media)
La vulnerabilidad que involucra acciones no autorizadas en el controlador de infraestructura de políticas de aplicaciones de Cisco surge debido a deficiencias en el control de acceso al emplear dominios de seguridad limitados para instaurar múltiples arrendatarios para políticas que se extienden más allá de los límites del arrendatario.
Un usuario malintencionado con una cuenta de usuario válida vinculada a un dominio de seguridad restringido podría explotar esta vulnerabilidad. Si un ataque de este tipo tuviera éxito, el atacante podría tener la capacidad de leer, alterar o eliminar políticas establecidas por usuarios asociados con un dominio de seguridad diferente.
Sin embargo, es importante recalcar que la explotación no es factible para políticas en torno a dominios a los cuales un atacante no tiene permisos para acceder.
- CVE-2023-201154 → Puntaje base CVSS: 5.4 (media)
Esta vulnerabilidad tiene que ver con el acceso a archivos en el servidor SFTP de los switches Cisco Nexus de las series 3000 y 9000. Este problema surge debido a un fallo lógico en el proceso de verificación del rol del usuario durante la conexión SFTP en un dispositivo que está en riesgo. Un posible atacante podría explotar esta debilidad al establecer una conexión y autenticarse a través de SFTP, utilizando las credenciales de un usuario legítimo que no posea privilegios de administrador.
Si este tipo de ataque lograra tener éxito, el atacante podría obtener la capacidad de leer o alterar archivos en el sistema operativo subyacente con los mismos privilegios que tiene el usuario autenticado.
- CVE-2023-20234 → Puntaje base CVSS: 4.4 (media)
La falla de seguridad relacionada con la escritura de archivos arbitrarios en el software Cisco FXOS surge debido a la ausencia de validación de los parámetros al emplear un comando específico en la interfaz de línea de comandos (CLI).
Un individuo malicioso podría hacer uso de esta vulnerabilidad al autenticarse en un dispositivo comprometido y ejecutar el comando correspondiente en la CLI. Si esta explotación tiene éxito, el atacante tendría la capacidad de sobrescribir cualquier archivo en el disco del dispositivo afectado, incluyendo los archivos del sistema.
Para llevar a cabo esta acción, el atacante necesita poseer credenciales administrativas válidas en el dispositivo que ha sido comprometido.
Productos afectados
| Productos | Versión afectada |
| Cisco NX-OS | 9.3(11) 10.2(5) |
| Switches de la serie Nexus 3000 | Si ejecutan el software Cisco NX-OS versión 10.3(2) y el protocolo IS-IS está habilitado en el software |
| Switches Nexus serie 9000 en modo NX-OS independiente | Si ejecutan el software Cisco NX-OS versión 10.3(2) y el protocolo IS-IS está habilitado en el software |
| Firepower 4100 Series (CSCvi80806) / Firepower 9300 Security Appliances (CSCvi80806) / UCS 6300 Series Fabric Interconnects (CSCwd38796, CSCwe12029) | Si ejecutan una versión vulnerable del software Cisco FXOS o del software Cisco UCS |
| Cisco APIC | 5.2 6.0 |
| Firepower 1000 Series (CSCwd35726, CSCwd05772) / Firepower 2100 Series (CSCwd35726, CSCwd05772) / Firepower 9300 Security Appliances (CSCwb91812, CSCwd35722) / Secure Firewall 3100 Series (CSCwd35726, CSCwd05772) | Si ejecutan una versión vulnerable del software Cisco FXOS |
Solución
- Actualizar los productos CISCO a las versiones corregidas que abordan las vulnerabilidades, las cuales se encuentran en la página oficial del proveedor.
Recomendaciones
- Se recomienda aplicar las actualizaciones proporcionadas por el fabricante. Sin embargo, antes de llevar a cabo la instalación, es importante realizar un análisis del impacto que estas actualizaciones podrían tener en los servicios críticos para el negocio de la organización. Para obtener una evaluación precisa, es aconsejable consultar con el personal técnico o las áreas responsables de resolver problemas en la organización.
Referencias
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-remoteauth-dos-XB6pv74m#fs
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-n3_9k-isis-dos-FTCXB4Vb#fs
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fp-ucsfi-snmp-dos-qtv69NAO#vp
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fxos-arbitrary-file-BLk6YupL
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apic-uapa-F4TAShk
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-sftp-xVAp5Hfd
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1694/