1. Avisos de seguridad
  2. Vulnerabilidades en el sistema operativo de red de Cisco para switches
Fecha de publicación: Mié, 02/03/2022 - 11:09

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

Cisco ha publicado un aviso para tres vulnerabilidades de gravedad alta y una de gravedad media. La explotación de las vulnerabilidades podría apoderarse de los dispositivos Cisco vulnerables. Las fallas CVE-2022-20650 con una puntuación base de 8.8 es la vulnerabilidad más crítica entre las cuatro, lo que permite que un atacante remoto autenticado ejecute comandos arbitrarios con  privilegios de root.

La lista de otras vulnerabilidades divulgadas en los switches de Cisco son:

1. CVE-2022-20650

2. CVE-2022-20623

3. CVE-2022-20624

4. CVE-2022-20625

Sin embargo, CVE-2022-20650, es la vulnerabilidad más crítica de la lista. Esta vulnerabilidad permite a atacantes remotos autenticados ejecutar comandos arbitrarios con privilegios de root. La falla se debe a una validación incorrecta de los datos de entrada del usuario enviados a NX-API en el software Cisco NX-OS. Este es un defecto fácilmente explotable. Los atacantes pueden explotar la falla simplemente enviando una solicitud HTTP POST manipulada a la NX-API de un conmutador Cisco afectado.

Recursos afectados

El CVE-2022-20650 afecta a estos modelos de Switch que ejecutan el software Cisco NX-OS vulnerable con la función NX-API habilitada.

  • Conmutadores de la serie Nexus 3000 ( CSCvz80191 )

  • Conmutadores de plataforma Nexus 5500 ( CSCvz81047 )

  • Conmutadores de plataforma Nexus 5600 ( CSCvz81047 )

  • Conmutadores de la serie Nexus 6000 ( CSCvz81047 )

  • Conmutadores de la serie Nexus 9000 en modo NX-OS independiente ( CSCvz80191 )

Solución

Dado que la vulnerabilidad CVE-2022-20650 se encuentra en la función NX-API del software Cisco NX-OS, la mejor y más rápida solución es deshabilitar la NX-API en los dispositivos. Se recomienda a todos los usuarios de los dispositivos afectados que actualicen Cisco NS-OS a la última versión disponible, ya que Cisco ha reconocido la vulnerabilidad al publicar las actualizaciones de software gratuitas.

La función NX-API está habilitada de manera predeterminada para el acceso local y deshabilitada de manera predeterminada para el acceso HTTP remoto en todos los dispositivos. En caso de que desee comprobar el estado de la función NX-API en los conmutadores de Cisco, simplemente ejecute este sencillo comando  show feature | incluya nxapi  en la interfaz de línea de comandos.

nxos# show feature | include nxapi

nxapi 1 enabled

Recomendaciones

Se recomienda que los usuarios agilizen la aplicación de actualizaciones necesarias para evitar una posible explotación de la vulnerabilidad.

Referencias

https://thehackernews.com/2022/02/new-flaws-discovered-in-ciscos-network.html 

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-nxapi-cmdinject-ULukNMZ2 

https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html#ssu