Llegamos a ustedes gracias a:



Alertas de Seguridad

El software Cisco Nexus NS-OS

Podría ser explotado para crear un ataque DOS

[03/06/2020] Cisco está diciendo a los clientes de sus switches de centro de datos Nexus que arreglen o trabajen en torno a una vulnerabilidad que podría dejar las cajas abiertas a un ataque de denegación de servicio.

La vulnerabilidad, encontrada en el software Nexus NX-OS obtiene una puntuación de 8,6 sobre 10 en el Sistema de Puntuación de Vulnerabilidad Común, lo que lo convierte en un problema de "Alto" riesgo.

Cisco dijo que la vulnerabilidad se debe a que un dispositivo afectado decapsula y procesa inesperadamente paquetes IP-in-IP que están destinados a una dirección IP configurada localmente. IP-in-IP es un protocolo de tunelización que envuelve un paquete IP dentro de otro paquete IP.

"Una explotación exitosa podría hacer que el dispositivo afectado decapsulara inesperadamente el paquete IP-in-IP y reenviara el paquete IP interno. Esto puede hacer que los paquetes IP pasen por alto las listas de control de acceso de entrada (ACL) configuradas en el dispositivo afectado u otros límites de seguridad definidos en otra parte de la red", declaró Cisco."Bajo ciertas condiciones, un exploit podría causar que el proceso de la pila de la red se bloquee y reinicie varias veces, lo que llevaría a una recarga del dispositivo afectado y a una condición de DoS".

La vulnerabilidad afecta a una variedad de switches Nexus, desde el Nexus 1000 Virtual Edge para VMware vSphere hasta el Nexus 9000 Series.

Cisco dijo que una solución provisional es configurar las listas de control de acceso a la infraestructura (iACL, por sus siglas en inglés) para permitir que solo el tráfico requerido de administración y control de aviones llegue al dispositivo afectado, como se recomienda en la Guía de Cisco para asegurar los dispositivos de software NX-OS.

Los clientes también pueden considerar la posibilidad de negar explícitamente todos los paquetes IP con el protocolo número 4 (correspondiente a los paquetes IP-in-IP) como parte de sus iACL, si no se utiliza un tráfico IP-in-IP legítimo en su red. También puede utilizarse una política de control personalizado del plano de control (CoPP) para eliminar el tráfico IP-in-IP destinado a un dispositivo afectado; sin embargo, el apoyo a la personalización de la CoPP varía según las diferentes plataformas y versiones de software de Nexus".

Se aconseja a los clientes que se pongan en contacto con su organización de apoyo para que les ayuden a evaluar la viabilidad de una solución alternativa, y a aplicarla en un dispositivo afectado, declaró Cisco. Cisco también dijo que el Cisco Software Checker identifica los Avisos de Seguridad de Cisco que afectan a versiones específicas del Software NX-OS de Cisco, y nombra la primera versión que arregla las vulnerabilidades que se describen en cada aviso, llamada "First Fixed".

Además, la compañía dijo que ha lanzado actualizaciones de software gratuitas que abordan la vulnerabilidad.