Actualización de Cisco que corrige vulnerabilidades DoS

Fecha de publicación 18/04/2022
Importancia
4 - Alta
Recursos Afectados
  • Dispositivos con versiones Cisco IOS XE previas a la 17.3.1 que tengan habilitada la funcionalidad NETCONF sobre SSH (esta funcionalidad no está habilitada por defecto);
  • dispositivos con versiones de Cisco IOS y Cisco IOS XE, entre la 3SE y 3E, que tengan la funcionalidad HTTP habilitada;
  • Cisco 1000 Series Connected Grid Router (CGR1K) que tengan integrado y habilitado el punto de acceso inalámbrico;
  • conmutadores de la serie Cisco Catalyst Digital Building y micro conmutadores Cisco Catalyst con el Boot Loader en la versión 15.2(7r)E2:
    • conmutadores de la serie Catalyst Digital Building versiones 15.2(5)EX y 15.2(7)E y anteriores, con identificador de producto (PID) CDB-8P y CDB-8U;
    • Micro conmutadores Catalyst versiones 15.2(7)E y anteriores y 15.2(8)E con PID CMICR-4PS y CMICR-4PC.
  • Dispositivos con Cisco IOS XE que tengan habilitada la funcionalidad AppNav-XE (esta funcionalidad está deshabilitada por defecto):
    • 1000 Series Integrated Services Routers,
    • 4000 Series Integrated Services Routers,
    • ASR 1001-X Routers,
    • ASR 1002-X Routers,
    • Catalyst 8300 Series Routers,
    • Catalyst 8500 Series Routers,
    • Catalyst 8000V Edge Software,
    • Cloud Services Router 1000V Series.
Descripción

Cisco ha solucionado varias vulnerabilidades de severidad alta en los productos indicados en la sección de recursos afectados que permitirían a un ciberdelincuente generar condiciones de denegación de servicio (DoS).

Solución

Cisco ha publicado actualizaciones de software gratuitas que abordan estas vulnerabilidades para los clientes que tengan licencias de estos productos.

  • Para solucionar estas vulnerabilidades:
    • confirmar mediante comando que están habilitadas las funcionalidades vulnerables:
      • NETCONF sobre SSH (‘show-running-config’);
      • HTTP (‘show-running-config’);
      • punto de acceso inalámbrico (‘show interface’);
      • boot loader (‘show version’)
      • AppNav-XE (‘show-running-config’ y ‘show service-insertion status’).
    • confirmar que el software afectado está en una versión vulnerable en Cisco Software Checker;
    • instalar una versión de software recomendada.
  • Migrar o actualizar el software de los conmutadores de la serie Cisco Catalyst Digital Building y Micro conmutadores Cisco Catalyst
    • conmutadores de la serie Cisco Catalyst Digital Building según la versión afectada: migrar a una release corregida o actualizar a 15.2(7) E5;
    • micro conmutadores Cisco Catalyst, según la versión afectada: actualizar a 15.2(7) E5 o a 15.2(8) E1.

En cualquier caso, Cisco advierte de que cada empresa debe asegurarse de que los dispositivos que se van a actualizar contienen suficiente memoria y confirmar que las configuraciones actuales de hardware y software seguirán siendo compatibles con la nueva versión. Ante cualquier duda, se aconseja a los clientes que se pongan en contacto con el Centro de Asistencia Técnica (TAC) de Cisco o con sus proveedores de mantenimiento contratados.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017),y el el formulario web.

Detalle

Cisco_sello

Las vulnerabilidades corregidas pueden dar lugar a condiciones de denegación de servicio:

  • La vulnerabilidad que afecta a NETCONF sobre SSH se debe a una gestión insuficiente de los recursos. Un atacante remoto autenticado con bajos privilegios podría explotar esta vulnerabilidad iniciando un gran número de conexiones, utilizando el protocolo SSH y permitiéndole agotar estos recursos, haciendo que el dispositivo se recargue y por consiguiente provocando una condición de DoS.
  • La vulnerabilidad que afecta al servicio HTTP se debe también a una gestión inadecuada de los recursos. Un atacante autenticado remoto podría explotar esta vulnerabilidad enviando un gran número de peticiones, utilizando el protocolo HTTP a un dispositivo afectado, lo que podría permitir al atacante hacer que el dispositivo se recargue, dando lugar a una condición de DoS.
  • La vulnerabilidad que afecta al punto de acceso inalámbrico en el CGR1K se debe a la insuficiente validación de entrada del tráfico recibido. Un atacante, no autenticado, podría explotar esta vulnerabilidad enviando tráfico manipulado a un dispositivo afectado con lo que podría hacer que el punto de acceso integrado deje de procesar el tráfico, dando lugar a una condición de DoS, siendo necesario recargar manualmente el CGR1K para restaurar el funcionamiento del AP.
  • Las vulnerabilidades que afectan a los conmutadores de la serie Digital Buliding Cisco Catalyst y a los micro conmutadores Cisco Catalyst podrían permitir a un atacante ejecutar código persistente en el momento del arranque o impedir permanentemente el arranque del dispositivo, lo que daría lugar a una condición de denegación de servicio (DoS) permanente.
  • La vulnerabilidad de la funcionalidad AppNAV se debe al manejo incorrecto del protocolo TCP. Un atacante remoto, no autenticado, podría explotar esta vulnerabilidad enviando un tráfico TCP a gran velocidad hacia una interfaz de un dispositivo afectado con la funcionalidad AppNav activada, provocando que el dispositivo se recargue.

Línea de ayuda en ciberseguridad 017

Listado de referencias
Cisco IOS XE Software NETCONF Over SSH Denial of Service Vulnerability
Cisco IOS and IOS XE Software Web Services Denial of Service Vulnerability
Cisco 1000 Series Connected Grid Router Integrated Wireless Access Point Denial of Service Vulnerability
Cisco Catalyst Digital Building Series Switches and Cisco Catalyst Micro Switches Vulnerabilities
Cisco IOS XE Software AppNav-XE Denial of Service Vulnerability
Etiquetas