Vulnerabilidad en Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch Software (CVE-2019-1890)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

04/07/2019

Última modificación:

16/10/2020

Descripción

Una vulnerabilidad en el establecimiento de conexión VLAN de la infraestructura de Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch Software podría permitir a un atacante adyacente no autenticado eludir las validaciones de seguridad y conectar un servidor no autorizado a la infraestructura VLAN. La vulnerabilidad se debe a requisitos de seguridad insuficientes durante la fase de configuración del protocolo de descubrimiento de capa de enlace (LLDP) de la infraestructura VLAN. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete LLDP malintencionado en la subred adyacente al conmutador Cisco Nexus 9000 Series en modo ACI. Una explotación con éxito podría permitir que el atacante conecte un servidor no autorizado a la infraestructura VLAN, que es altamente privilegiada. Con una conexión a la VLAN de infraestructura, el atacante puede realizar conexiones no autorizadas a los servicios Cisco Application Policy Infrastructure Controller (APIC) o unirse a otros puntos finales de host.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:A/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 3.30 BAJA
Vector: AV:A/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

3.30

Gravedad 2.0

BAJA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:cisco:application_policy_infrastructure_controller:7.3\(0\)zn\(0.113\):::::::*
cpe:2.3:h:cisco:9432pq:-:::::::*
cpe:2.3:h:cisco:9536pq:-:::::::*
cpe:2.3:h:cisco:9636pq:-:::::::*
cpe:2.3:h:cisco:9736pq:-:::::::*
cpe:2.3:h:cisco:n9k-x9432c-s:-:::::::*
cpe:2.3:h:cisco:n9k-x9464px:-:::::::*
cpe:2.3:h:cisco:n9k-x9464tx2:-:::::::*
cpe:2.3:h:cisco:n9k-x9564px:-:::::::*
cpe:2.3:h:cisco:n9k-x9564tx:-:::::::*
cpe:2.3:h:cisco:n9k-x9636c-r:-:::::::*
cpe:2.3:h:cisco:n9k-x9636c-rx:-:::::::*
cpe:2.3:h:cisco:n9k-x97160yc-ex:-:::::::*
cpe:2.3:h:cisco:n9k-x9732c-ex:-:::::::*
cpe:2.3:h:cisco:n9k-x9732c-fx:-:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:cisco:application_policy_infrastructure_controller:7.3\(0\)zn\(0.113\):::::::*
cpe:2.3:h:cisco:9432pq:-:::::::*
cpe:2.3:h:cisco:9536pq:-:::::::*
cpe:2.3:h:cisco:9636pq:-:::::::*
cpe:2.3:h:cisco:9736pq:-:::::::*
cpe:2.3:h:cisco:n9k-x9432c-s:-:::::::*
cpe:2.3:h:cisco:n9k-x9464px:-:::::::*
cpe:2.3:h:cisco:n9k-x9464tx2:-:::::::*
cpe:2.3:h:cisco:n9k-x9564px:-:::::::*
cpe:2.3:h:cisco:n9k-x9564tx:-:::::::*
cpe:2.3:h:cisco:n9k-x9636c-r:-:::::::*
cpe:2.3:h:cisco:n9k-x9636c-rx:-:::::::*
cpe:2.3:h:cisco:n9k-x97160yc-ex:-:::::::*
cpe:2.3:h:cisco:n9k-x9732c-ex:-:::::::*
cpe:2.3:h:cisco:n9k-x9732c-fx:-:::::::*

Vulnerabilidad en Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch Software (CVE-2019-1890)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información