El 18 de abril de 2022 la empresa estadounidense Cisco System, publicó la solución de varias vulnerabilidades de severidad Alta en los productos indicados en la sección Productos vulnerables de esta Alerta Masiva, que permitirían a un ciberdelincuente generar condiciones de denegación de servicio (DoS).

Productos vulnerables:

1. Dispositivos con versiones Cisco IOS XE previas a la 17.3.1 que tengan habilitada la funcionalidad NETCONF sobre SSH (esta funcionalidad no está habilitada por defecto).

- La vulnerabilidad que afecta a NETCONF sobre SSH se debe a una gestión insuficiente de los recursos. Un atacante remoto autenticado con bajos privilegios podría explotar esta vulnerabilidad iniciando un gran número de conexiones, utilizando el protocolo SSH y permitiéndole agotar estos recursos, haciendo que el dispositivo se recargue y por consiguiente provocando una condición de DoS.

2. Dispositivos con versiones de Cisco IOS y Cisco IOS XE, entre la 3SE y 3E, que tengan la funcionalidad HTTP habilitada.

- La vulnerabilidad que afecta al servicio HTTP se debe también a una gestión inadecuada de los recursos. Un atacante autenticado remoto podría explotar esta vulnerabilidad enviando un gran número de peticiones, utilizando el protocolo HTTP a un dispositivo afectado, lo que podría permitir al atacante hacer que el dispositivo se recargue, dando lugar a una condición de DoS.

3. Cisco 1000 Series Connected Grid Router (CGR1K) que tengan integrado y habilitado el punto de acceso inalámbrico.

- La vulnerabilidad que afecta al punto de acceso inalámbrico en el CGR1K se debe a la insuficiente validación de entrada del tráfico recibido. Un atacante, no autenticado, podría explotar esta vulnerabilidad enviando tráfico manipulado a un dispositivo afectado con lo que podría hacer que el punto de acceso integrado deje de procesar el tráfico, dando lugar a una condición de DoS, siendo necesario recargar manualmente el CGR1K para restaurar el funcionamiento del AP.

4. Conmutadores de la serie Cisco Catalyst Digital Building (versiones 15.2(5)EX y 15.2(7)E y anteriores, con identificador de producto (PID) CDB-8P y CDB-8U) y micro conmutadores Cisco Catalyst (versiones 15.2(7)E y anteriores y 15.2(8)E con PID CMICR-4PS y CMICR-4PC) con el Boot Loader en la versión 15.2(7r)E2.

- Las vulnerabilidades que afectan a los conmutadores de la serie Digital Buliding Cisco Catalyst y a los micro conmutadores Cisco Catalyst podrían permitir a un atacante ejecutar código persistente en el momento del arranque o impedir permanentemente el arranque del dispositivo, lo que daría lugar a una condición de denegación de servicio (DoS) permanente.

5. Dispositivos con Cisco IOS XE que tengan habilitada la funcionalidad AppNav-XE (esta funcionalidad está deshabilitada por defecto):

• 1000 Series Integrated Services Routers,
• 4000 Series Integrated Services Routers,
• ASR 1001-X Routers,
• ASR 1002-X Routers,
• Catalyst 8300 Series Routers,
• Catalyst 8500 Series Routers,
• Catalyst 8000V Edge Software,
• Cloud Services Router 1000V Series.

- La vulnerabilidad de la funcionalidad AppNAV se debe al manejo incorrecto del protocolo TCP. Un atacante remoto, no autenticado, podría explotar esta vulnerabilidad enviando un tráfico TCP a gran velocidad hacia una interfaz de un dispositivo afectado con la funcionalidad AppNav activada, provocando que el dispositivo se recargue.

Solución:

En cualquier caso, Cisco advierte de que cada empresa debe asegurarse de que los dispositivos que se van a actualizar contienen suficiente memoria y confirmar que las configuraciones actuales de hardware y software seguirán siendo compatibles con la nueva versión.

1. Para solucionar estas vulnerabilidades:

• confirmar mediante comando que están habilitadas las funcionalidades vulnerables:
• NETCONF sobre SSH (‘show-running-config’);
• HTTP (‘show-running-config’);
• punto de acceso inalámbrico (‘show interface’);
• boot loader (‘show version’);
• AppNav-XE (‘show-running-config’ y ‘show service-insertion status’).
• Confirmar que el software afectado está en una versión vulnerable en Cisco Software Checker;
• Instalar una versión de software recomendada

2. Migrar o actualizar el software de los conmutadores de la serie Cisco Catalyst Digital Building y Micro conmutadores Cisco Catalyst

• Conmutadores de la serie Cisco Catalyst Digital Building según la versión afectada: migrar a una release corregida o actualizar a 15.2(7) E5;
• Micro conmutadores Cisco Catalyst, según la versión afectada: actualizar a 15.2(7) E5 o a 15.2(8) E1

Referencias:

• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ncossh-dosZAkfOdq8
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-dos-svOdkdBS
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cgr1k-ap-dosmSZR4QVh
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cdb-cmicr-vulnsKJjFtNb
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-appnav-xe-dosj5MXTR4