Luego del descrubrimiento de nuevas fallas por parte de Cisco, la entidad lanzó numerosas actualizaciones para tratar un conjunto de nueve fallas de seguridad en sus conmutadores de serie Small Business que, según detallan, son causadas por una validación incorrecta de las solicitudes que se envían a la interfaz web, lo que puede ser explotado por un ciberdelincuente de manera remota y/o causar ataques de denegación de servicio (DoS). En relación a las nueve fallas informadas, cuatro son de naturaleza crítica, según CVSS (Common Vulnerability Scoring System) sistema de puntuación que permite definir numéricamente el nivel de gravedad de un fallo de seguridad. Las líneas de productos afectados por las nueve fallas mencionadas anteriormente son:

  • Conmutadores inteligentes de la serie 250 (corregidos en la versión de firmware 2.5.9.16)
  • Switches administrados de la serie 350 (corregidos en la versión de firmware 2.5.9.16)
  • Switches administrados apilables de la serie 350X (corregidos en la versión de firmware 2.5.9.16)
  • Switches administrados apilables de la serie 550X (corregidos en la versión de firmware 2.5.9.16)
  • Conmutadores inteligentes de la serie Business 250 (corregidos en la versión de firmware 3.3.0.16)
  • Conmutadores gestionados de la serie Business 350 (corregidos en la versión de firmware 3.3.0.16)
  • Conmutadores inteligentes de la serie 200 para pequeñas empresas (no se parchearán)
  • Conmutadores administrados de la serie 300 para pequeñas empresas (no se parchearán)
  • Conmutadores administrados apilables de la serie 500 para pequeñas empresas (no se aplicarán parches)

Una breve descripción de cada uno de los defectos es la siguiente:

  • CVE-2023-20159 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento del búfer de pila de los switches Cisco Small Business Series
  • CVE-2023-20160 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento de búfer BSS no autenticado de Cisco Small Business Series Switches
  • CVE-2023-20161 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento de búfer de pila no autenticado de Cisco Small Business Series Switches
  • CVE-2023-20189 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento de búfer de pila no autenticado de Cisco Small Business Series Switches
  • CVE-2023-20024 (puntuación CVSS: 8,6): Vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico no autenticado de Cisco Small Business Series Switches
  • CVE-2023-20156 (puntuación CVSS: 8,6): Vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico no autenticado de Cisco Small Business Series Switches
  • CVE-2023-20157 (puntuación CVSS: 8,6): Vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico no autenticado de Cisco Small Business Series Switches
  • CVE-2023-20158 (puntuación CVSS: 8,6): Vulnerabilidad de denegación de servicio no autenticada de Cisco Small Business Series Switches
  • CVE-2023-20162 (puntuación CVSS: 7,5): Vulnerabilidad de lectura de configuración no autenticada de Cisco Small Business Series Switches

Los ataques exitosos de las vulnerabilidades mencionadas anteriormente, permiten que un atacante remoto no autenticado obtenga privilegios de root mediante la ejecución de código arbitratio en un dispositivo afectado, gracias al envío de una solicitud diseñada especialmente a través de la interfaz de usuario, donde, además, se podría desencadenar una condición (DoS) o acceder a información confidencial en sistemas vulnerables por medio de dicha solicitud. Un dato no menor, aportado por los especialistas, es que existe la disponibilidad de un código de explotación de prueba de concepto (PoC), que, al momento, no presenta evidencias de explotación maliciosa en la naturaleza, pero no descartan el surgimiento de eventos en el futuro.

Cisco no planea lanzar actualizaciones de firmware para algunos productos que se encuentran transitando el proceso final de su vida útil como, Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches y Small Business 500 Series Stackable Managed Switches.

Dado que los dispositivos de Cisco se están convirtiendo en un vector de ataque lucrativo para los actores de amenazas, se recomienda a los usuarios actuar rápidamente para aplicar parches a fin de mitigar las amenazas potenciales.

Fuente:

https://thehackernews.com/2023/05/critical-flaws-in-cisco-small-business.html