Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
En total, la nueva actualización de seguridad aborda 9 vulnerabilidades, todas con puntajes base CVSS que van desde 9.8 (crítico) a 7.5 (grave) . Ninguna de las vulnerabilidades depende una de la otra. Las más importantes son 4 vulnerabilidades de desbordamiento de búfer (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 y CVE-2023-20189). Son causados por una validación incorrecta de las solicitudes enviadas a las interfaces web de los conmutadores objetivo. Un atacante remoto no autenticado podría explotar estos problemas para ejecutar código arbitrario o provocar la denegación de servicio, sin necesidad de interacción con el usuario.
Una breve descripción de cad uno de los defectos es la siguiente:
CVE-2023-20159 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento del búfer de pila de los switches Cisco Small Business Series
CVE-2023-20160 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento de búfer BSS no autenticado de Cisco Small Business Series Switches
CVE-2023-20161 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento de búfer de pila no autenticado de Cisco Small Business Series Switches
CVE-2023-20189 (puntuación CVSS: 9,8): Vulnerabilidad de desbordamiento de búfer de pila no autenticado de Cisco Small Business Series Switches
CVE-2023-20024 (puntuación CVSS: 8,6): Vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico no autenticado de Cisco Small Business Series Switches
CVE-2023-20156 (puntuación CVSS: 8,6): Vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico no autenticado de Cisco Small Business Series Switches
CVE-2023-20157 (puntuación CVSS: 8,6): Vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico no autenticado de Cisco Small Business Series Switches
CVE-2023-20158 (puntuación CVSS: 8,6): Vulnerabilidad de denegación de servicio no autenticada de Cisco Small Business Series Switches
CVE-2023-20162 (puntuación CVSS: 7,5): Vulnerabilidad de lectura de configuración no autenticada de Cisco Small Business Series Switches
Recursos afectados
- 250 Series Smart Switches versiones 2.5.9.15 y anteriores.
- 350 Series Managed Switches versiones 2.5.9.15 y anteriores.
- 350X Series Stackable Managed Switches versiones 2.5.9.15 y anteriores.
- 550X Series Stackable Managed Switches versiones 2.5.9.15 y anteriores.
- Business 250 Series Smart Switches versiones 3.3.0.15 y anteriores.
- Business 350 Series Managed Switches versiones 3.3.0.15 y anteriores.
- Small Business 200 Series Smart Switches.
- Small Business 300 Series Managed Switches.
- Small Business 500 Series Stackable Managed Switches
Solución
Cisco afirmo que no lanzará actualizaciones de los siguientes productos debido a que entraron al fin de su vida útil:
- Small Business 200 Series Smart Switches.
- Small Business 300 Series Managed Switches.
- Small Business 500 Series Stackable Managed Switches
Los equipos afectados ya cuentan con un parche de seguridad el cual puede ser descargado desde su sitio oficial:
- 250 Series Smart Switches actualizar a la versión 2.5.9.16
- 350 Series Managed Switches actualizar a la versión 2.5.9. 16
- 350X Series Stackable Managed Switches actualizar a la versión 2.5.9.16
- 550X Series Stackable Managed Switches actualizar a la versión 2.5.9.16
- Business 250 Series Smart Switches actualizar a la versión 3.3.0.16
- Business 350 Series Managed Switches actualizar a la versión 3.3.0.16
Recomendaciones
Hasta el momento no hay informes de que los problemas abordados en la actualización esté siendo explotado en la naturaleza. Sin embargo, Cisco es consiente de que el código de explotación de prueba de concepto esta disponible. Asegúrese de instalar las actualizaciones lo antes posible para proteger su red.
Referencias
Vulnerabilidades críticas solucionadas en los switches Cisco Small Business Series