Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la implementación del Stream Control Transmission Protocol (SCTP) en el eNodeB en Cisco Mobility Management Entity (MME) (CVE-2019-16026)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
26/01/2020
Última modificación:
31/01/2020

Descripción

Una vulnerabilidad en la implementación del Stream Control Transmission Protocol (SCTP) en Cisco Mobility Management Entity (MME), podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) en un eNodeB que esté conectado en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de entrada insuficiente del tráfico SCTP. Un atacante podría explotar esta vulnerabilidad mediante el aprovechamiento de una posición de tipo man-in-the-middle entre el eNodeB y el MME y luego enviar un mensaje SCTP diseñado hacia el MME. Una explotación con éxito causaría que el MME dejara de enviar mensajes SCTP hacia el eNodeB, desencadenando una condición DoS.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:cisco:staros:*:*:*:*:*:*:*:* 21.16.1 (excluyendo)
cpe:2.3:h:cisco:asr_5000:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:asr_5500:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:asr_5700:-:*:*:*:*:*:*:*