[19/05/2023] Cisco ha parcheado esta semana varias vulnerabilidades que afectan a varios modelos de sus switches para pequeñas empresas y que podrían permitir a los atacantes hacerse con el control total de los dispositivos de forma remota. Todas las fallas se encuentran en la interfaz de gestión basada en web de los dispositivos y pueden aprovecharse sin autenticación. Aunque la empresa no reveló en qué componentes específicos de la interfaz web se encuentran las fallas, señaló en su aviso que las vulnerabilidades no dependen unas de otras y pueden explotarse de forma independiente.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Dado que las fallas pueden explotarse sin autenticación, podemos deducir que probablemente se encuentren en funciones que no requieren autenticación o en las que puede eludirse el mecanismo de autenticación. Lo primero parece más probable, ya que ninguna de las fallas se describe como una derivación de la autenticación. Aunque Cisco aún no tiene constancia de que se haya producido ninguna explotación malintencionada de estas fallas, la empresa ha señalado que ya hay disponible públicamente un código de prueba de concepto para explotar estas vulnerabilidades.
Los atacantes necesitan tener acceso a la interfaz de gestión web, lo que puede lograrse directamente en los casos en que la interfaz de gestión está expuesta a Internet, o indirectamente, ganando primero un punto de apoyo en una red interna donde se utiliza un switch vulnerable.
Las vulnerabilidades de Cisco podrían permitir el compromiso completo del dispositivo, la denegación de servicio, la fuga de datos
Cuatro de las fallas se describen como desbordamientos de búfer y pueden aprovecharse para lograr la ejecución arbitraria de código con permisos de root (administrativo). Por lo general, esto da lugar a un compromiso completo del dispositivo.
Estas cuatro fallas se identifican como CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 y CVE-2023-20189. Todos tienen una calificación de 9,8 sobre 10 en la escala de gravedad CVSS. Otras cuatro fallas también se describen como condiciones de desbordamiento del búfer, pero sólo pueden provocar una denegación de servicio en los dispositivos vulnerables al procesar peticiones malintencionadas. Las fallas se registran como CVE-2023-20156, CVE-2023-20024, CVE-2023-20157 y CVE-2023-20158 y se califican con un 8,6 de gravedad.
El último defecto se describe como un error de lectura de la configuración y puede dar lugar a que los atacantes lean información no autorizada de un dispositivo afectado sin autenticación. La falla, identificado como CVE-2023-20162, tiene una calificación de gravedad de 7,5 (alta).
Actualización al último firmware de Cisco
Las vulnerabilidades afectan a la versión 2.5.9.15 y anteriores del firmware de Cisco para los Smart Switches de la serie 250, los Managed Switches de la serie 350, los Managed Switches apilables de la serie 350X y los Managed Switches apilables de la serie 550X, así como a la versión 3.3.0.15 y anteriores del firmware de los Smart Switches de la serie 250 para empresas y los Managed Switches de la serie 350 para empresas. Cisco ha publicado parches para las versiones de firmware 2.5.9.16 y 3.3.0.16, respectivamente.
Los Smart Switches Small Business serie 200, los Managed Switches Small Business serie 300 y los Managed Switches apilables Small Business serie 500 también están afectados, pero no recibirán actualizaciones de firmware porque han llegado al final de su vida útil.
La empresa señala que no todas las versiones de firmware afectadas se ven afectadas por todas las vulnerabilidades, lo que sugiere que algunas fallas podrían ser específicos de cada versión. No obstante, los clientes deberían actualizar a la última versión de firmware lo antes posible, ya que no existen soluciones conocidas y los atacantes ya se han interesado por los dispositivos de Cisco en otras ocasiones.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú