Vulnerabilidad en Cisco Intelligent Node (CVE-2024-20323)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-321 Uso de claves de cifrado embebidas en el software

Fecha de publicación:

17/07/2024

Última modificación:

01/08/2025

Descripción

Una vulnerabilidad en el software Cisco Intelligent Node (iNode) podría permitir que un atacante remoto no autenticado secuestrara la conexión TLS entre Cisco iNode Manager y los nodos inteligentes asociados y enviara tráfico arbitrario a un dispositivo afectado. Esta vulnerabilidad se debe a la presencia de material criptográfico codificado. Un atacante en una posición intermedia entre Cisco iNode Manager y los nodos implementados asociados podría aprovechar esta vulnerabilidad utilizando la clave criptográfica estática para generar un certificado confiable y hacerse pasar por un dispositivo afectado. Un exploit exitoso podría permitir al atacante leer datos destinados a un dispositivo legítimo, modificar la configuración de inicio de un nodo asociado y, en consecuencia, causar una condición de denegación de servicio (DoS) para los dispositivos posteriores que están conectados al nodo afectado.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno