Cisco ha lanzado actualizaciones para abordar un conjunto de nueve fallas de seguridad en sus switches de la serie Small Business que podrían ser explotadas por un atacante remoto no autenticado para ejecutar código arbitrario o causar una condición de denegación de servicio (DoS).
“Estas vulnerabilidades se deben a la validación inadecuada de las solicitudes que se envían a la interfaz web”, dijo Cisco, acreditando a un investigador externo no identificado por informar los problemas.
Cuatro de las nueve vulnerabilidades tienen una calificación de 9.8 sobre 10 en el sistema de puntuación CVSS, lo que las hace de naturaleza crítica. Los nueve defectos afectan a las siguientes líneas de productos:
- Interruptores inteligentes de la serie 250 (corregidos en la versión de firmware 2.5.9.16).
- Switches administrados de la serie 350 (corregidos en la versión de firmware 2.5.9.16).
- Switches gestionables apilables serie 350X (corregidos en la versión de firmware 2.5.9.16).
- Switches gestionables apilables serie 550X (corregidos en la versión de firmware 2.5.9.16).
- Interruptores inteligentes Business serie 250 (corregidos en la versión de firmware 3.3.0.16).
- Switches gestionados Business serie 350 (corregidos en la versión de firmware 3.3.0.16).
- Interruptores inteligentes para pequeñas empresas de la serie 200 (no se parchearán).
- Switches administrados para pequeñas empresas serie 300 (no se parchearán).
- Switches administrables apilables para pequeñas empresas serie 500 (no se parchearán).
Una breve descripción de cada uno de los defectos es la siguiente:
- CVE-2023-20159 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento del búfer de pila de switches de la serie Cisco Small Business.
- CVE-2023-20160 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento del búfer BSS no autenticado en los switches Cisco Small Business Series.
- CVE-2023-20161 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento del búfer de pila no autenticada de los switches Cisco Small Business Series.
- CVE-2023-20189 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento del búfer de pila no autenticada de los switches Cisco Small Business Series.
- CVE-2023-20024 (puntuación CVSS: 8,6): Vulnerabilidad de desbordamiento del búfer del montón no autenticado de los switches de la serie Cisco Small Business.
- CVE-2023-20156 (puntuación CVSS: 8,6): Vulnerabilidad de desbordamiento del búfer del montón no autenticado de los switches de la serie Cisco Small Business.
- CVE-2023-20157 (puntuación CVSS: 8,6): Vulnerabilidad de desbordamiento del búfer del montón no autenticado de los switches de la serie Cisco Small Business.
- CVE-2023-20158 (puntuación CVSS: 8,6): Vulnerabilidad de denegación de servicio no autenticada en los switches Cisco Small Business Series.
- CVE-2023-20162 (puntuación CVSS: 7,5): Vulnerabilidad de lectura de configuración no autenticada en los switches de la serie Cisco Small Business.
La explotación exitosa de los errores antes mencionados podría permitir a un atacante remoto no autenticado ejecutar código arbitrario con privilegios de root en un dispositivo afectado mediante el envío de una solicitud especialmente diseñada a través de la interfaz de usuario basada en web.
Alternativamente, también podrían ser abusados para activar una condición DoS o leer información no autorizada en sistemas vulnerables por medio de una solicitud maliciosa.
Cisco dijo que no planea lanzar actualizaciones de firmware para Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches, Small Business 500 Series Stackable Managed Switches, ya que han entrado en el proceso de fin de vida útil.
El mayor de equipos de red también dijo que está al tanto de la disponibilidad de un código de explotación de prueba de concepto (PoC), pero señaló que no observó ninguna evidencia de explotación maliciosa en la naturaleza.
Con los dispositivos Cisco convirtiéndose en un vector de ataque lucrativo para los actores de amenazas, se recomienda a los usuarios que se muevan rápidamente para aplicar los parches para mitigar las amenazas potenciales.
Fuente: The Hacker News.