La semana pasada, cisco Se corrigieron varias vulnerabilidades que afectaban a varios modelos de conmutadores para pequeñas empresas y que pueden permitir a los atacantes tomar el control total de los dispositivos de forma remota. Todas las fallas están ubicadas en la interfaz de administración web de los dispositivos y pueden explotarse sin autenticación. Aunque el OEM no proporcionó ninguna información sobre los componentes específicos de la interfaz web en los que se encuentran las fallas, el aviso afirma que las vulnerabilidades no dependen unas de otras y pueden explotarse de forma independiente. Dado que las fallas pueden explotarse sin autenticación, se puede inferir que probablemente se encuentren en características que no requieren autenticación o para las cuales se puede eludir el mecanismo de autenticación.

La primera hipótesis parece la más probable, ya que ninguno de los fallos se describe como una omisión de autenticación. Si bien Cisco aún no ha observado ninguna explotación maliciosa de estas vulnerabilidades, la compañía señaló que el código de prueba de concepto ya estaba disponible públicamente para estas vulnerabilidades. Los atacantes deben tener acceso a la interfaz de administración web, lo cual es posible directamente, si la interfaz de administración está expuesta a Internet, o indirectamente, después de una intrusión en una red interna utilizando un conmutador vulnerable.

Índice
  1. Compromiso total, denegación de servicio y fuga de datos
  2. Actualizar al firmware más reciente

Compromiso total, denegación de servicio y fuga de datos

Cuatro de las fallas se describen como desbordamientos de búfer y pueden explotarse para ejecutar código arbitrario con privilegios de administrador (root). Esto suele provocar un compromiso total del dispositivo. Estos cuatro fallos se enumeran bajo las referencias CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 y CVE-2023-20189. Todos tienen una puntuación de 9,8 sobre 10 en la escala de gravedad del Common Vulnerability Scoring System (CVSS). Otros cuatro fallos también se describen como condiciones de desbordamiento del búfer, pero sólo pueden provocar una denegación de servicio en dispositivos vulnerables al procesar solicitudes maliciosas.

Estas fallas se enumeran como CVE-2023-20156, CVE-2023-20024, CVE-2023-20157 y CVE-2023-20158 y tienen una puntuación de 8,6 en la escala de gravedad CVSS. La última falla se describe como un error de lectura de configuración y puede permitir a los atacantes leer información no autorizada de un dispositivo afectado sin autenticación. Este fallo, catalogado bajo la referencia CVE-2023-20162, tiene una puntuación de gravedad de 7,5 (alta).

Actualizar al firmware más reciente

Las vulnerabilidades afectan la versión 2.5.9.15 y anteriores del firmware de Cisco para los conmutadores inteligentes de la serie 250, los conmutadores administrados de la serie 350, los conmutadores administrados apilables de la serie 350X y los conmutadores administrados apilables de la serie 350X. 550X, así como la versión de firmware 3.3.0.15 y anteriores para los conmutadores inteligentes Business serie 250 y los conmutadores Smart Business serie 350. El OEM entregó las versiones de firmware 2.5.9.16 y 3.3.0.16, respectivamente.

Los conmutadores inteligentes Small Business serie 200, los conmutadores administrados Small Business serie 300 y los conmutadores administrados apilables Small Business serie 500 también se ven afectados, pero no recibirán una actualización de firmware ya que han llegado al final de su vida útil. Cisco también indica que no todas las versiones de firmware afectadas se ven afectadas por todas las vulnerabilidades, lo que sugiere que algunas fallas podrían ser específicas de la versión. No obstante, los clientes deben actualizar a la última versión del firmware lo antes posible, ya que no se conoce ninguna solución alternativa y los atacantes han atacado dispositivos Cisco en el pasado.