Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Cisco, que permitirían a un atacante realizar desbordamiento de buffer, denegación de servicios (DoS), entre otros. Actualmente para los CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 y CVE-2023-20189 existe prueba de concepto (PoC) publicada.
Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Crítica” y cinco (cinco) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 y CVE-2023-20189, todas de severidad “Crítica” y con puntuación asignada de 9.8. Estas vulnerabilidades del tipo buffer overflow se deben a una falla de validación de datos de entrada de las solicitudes enviadas a la interfaz web en Cisco Small Business Series Switches. Esto permitiría a un atacante remoto no autenticado a través de la interfaz de usuario basada en web, enviar solicitudes especialmente diseñadas y realizar ejecución arbitraria de código con privilegios de root en el dispositivo afectado.
- CVE-2023-20024 y CVE-2023-20156, ambas de severidad “Alta” y con puntuación asignada de 8.6. Estas vulnerabilidades del tipo heap buffer overflow se deben a una falla de validación de datos de entrada de las solicitudes enviadas a la interfaz web en Cisco Small Business Series Switches. Esto permitiría a un atacante remoto no autenticado a través de la interfaz de usuario basada en web, enviar solicitudes especialmente diseñadas y desencadenar denegación de servicios (DoS) en el dispositivo afectado.
Puede acceder al listado completo de vulnerabilidades aquí
Los principales productos afectados son:
- Small Business 200 Series Smart Switches.
- Small Business 300 Series Managed Switches.
- Small Business 500 Series Stackable Managed Switches.
- Business 250 Series Smart Switches y Business 350 Series Managed Switches, versión 3.3.0.15 y anteriores.
Puede acceder al listado completo de productos afectados aquí
Recomendamos acceder a la actualización correspondiente proporcionada por el fabricante en el siguiente enlace:
Adicionalmente, Cisco ha informado que para los productos Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches, Small Business 500 Series Stackable Managed Switches no lanzará actualizaciones de seguridad, debido que las mismas se encuentran en proceso de fin de vida útil. Para más información acceder a los siguientes enlaces:
- Small Business 200 Series Smart Switches
- Small Business 300 Series Managed Switches
- Small Business 500 Series Stackable Managed Switches
Referencias:
- https://www.incibe.es/empresas/avisos/desbordamiento-de-bufer-y-dos-en-los-switches-cisco-small-business-series
- https://www.securityweek.com/cisco-says-poc-exploits-available-for-newly-patched-enterprise-switch-vulnerabilities/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv
- https://nvd.nist.gov/vuln/detail/CVE-2023-20159
- https://nvd.nist.gov/vuln/detail/CVE-2023-20160
- https://nvd.nist.gov/vuln/detail/CVE-2023-20161
- https://nvd.nist.gov/vuln/detail/CVE-2023-20189
- https://www.cisco.com/c/en/us/support/index.html
- https://www.cisco.com/c/en/us/products/collateral/switches/small-business-smart-switches/eos-eol-notice-c51-740541.html
- https://www.cisco.com/c/en/us/products/switches/small-business-300-series-managed-switches/eos-eol-notice-listing.html
- https://www.cisco.com/c/en/us/products/collateral/switches/small-business-500-series-stackable-managed-switches/eos-eol-notice-c51-739827.html