Sistemas Afectados
- Switches Smart 250 (corregido en la versión de firmware 2.5.9.16)
- Switches Managed de la serie 350 (corregido en la versión de firmware 2.5.9.16)
- Switches Series Stackable Managed 350X (corregido en la versión de firmware 2.5.9.16)
- Switches Series Stackable Managed 550X (corregido en la versión de firmware 2.5.9.16)
- Switches Smart de la serie Business 250 (corregido en la versión de firmware 3.3.0.16)
- Switches Managed de la serie Business 350 (corregido en la versión de firmware 3.3.0.16)
- Switches Smart de la serie Small Business 200 (sin correcciones)
- Switches Managed de la serie Small Business 300 (sin correcciones)
- Switches Stackable Managed de la serie Small Business 500 (sin correcciones)
Descripción
Cisco ha lanzado una serie de actualizaciones para remediar un conjunto de nueve fallas de seguridad en sus switches de la serie Small Business que podrían ser aprovechadas por un atacante remoto no autenticado para ejecutar código arbitrario o causar una condición de denegación de servicio (DoS). “Estas vulnerabilidades se deben a una validación inadecuada de las solicitudes que se envían a la interfaz web”, según explica Cisco en su informe, acreditando a un investigador externo no identificado por informar los problemas.
Cuatro de las nueve vulnerabilidades tienen una puntuación de 9,8 sobre 10 en el sistema de puntuación CVSS, lo que las hace críticas. Una breve descripción de cada una de las fallas es la siguiente:
CVE-2023-20159 (CVSS score: 9.8): Cisco Small Business Series Switches Stack Buffer Overflow Vulnerability.
CVE-2023-20160 (CVSS score: 9.8): Cisco Small Business Series Switches Unauthenticated BSS Buffer Overflow Vulnerability.
CVE-2023-20161 (CVSS score: 9.8): Cisco Small Business Series Switches Unauthenticated Stack Buffer Overflow Vulnerability.
CVE-2023-20189 (CVSS score: 9.8): Cisco Small Business Series Switches Unauthenticated Stack Buffer Overflow Vulnerability.
CVE-2023-20024 (CVSS score: 8.6): Cisco Small Business Series Switches Unauthenticated Heap Buffer Overflow Vulnerability.
CVE-2023-20156 (CVSS score: 8.6): Cisco Small Business Series Switches Unauthenticated Heap Buffer Overflow Vulnerability.
CVE-2023-20157 (CVSS score: 8.6): Cisco Small Business Series Switches Unauthenticated Heap Buffer Overflow Vulnerability.
CVE-2023-20158 (CVSS score: 8.6): Cisco Small Business Series Switches Unauthenticated Denial-of-Service Vulnerability.
CVE-2023-20162 (CVSS score: 7.5): Cisco Small Business Series Switches Unauthenticated Configuration Reading Vulnerability.
Referencia
Solución
Se recomienda a los usuarios y administradores de sistemas que apliquen las actualizaciones emitidas por Cisco y actualizar Cisco Switches a la versión correspondiente para mitigar las vulnerabilidades.
Suscríbete a nuestro boletín de alertas
Enlaces de interés
- CNCS e Idoppril suscriben acuerdo en favor de ciberseguridad nacional
- República Dominicana reúne a líderes de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT’s) nacionales de América Latina y el Caribe
- Centro de Ciberseguridad presenta Plataforma de Concientización en Ciberseguridad al Infotep
- CNCS e Idoppril suscriben acuerdo en favor de ciberseguridad nacional
- República Dominicana reúne a líderes de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT’s) nacionales de América Latina y el Caribe
- Centro de Ciberseguridad presenta Plataforma de Concientización en Ciberseguridad al Infotep