Multiples Vulnerabilidades en Productos Cisco
Cisco a listado nuevas vulnerabilidades en su página de Security Advisories los cuales describen distintas vulnerabilidades en diferentes productos, principalmente en Cisco IOS XE Software y Cisco Catalyst, entre ellas se encontraban algunas vulnerabilidades altas, algunas casi llegando a un puntaje crítico. Dichas vulnerabilidades son las siguientes:
- CVE-2024-20433 (Cvss: 8.6, Alta): Es una vulnerabilidad que toma lugar en el Resource Reservation protocol (RSVP) de los softwares IOS y IOS XE de Cisco, dando lugar a que un atacante pueda mandar tráfico RVSP, si la vulnerabilidad es explotada correctamente puede resultar en una denegación de servicio debido a que el dispositivo afectado se reinicia.
- CVE-2024-20464 (CVSS: 8.6, Alta): Una vulnerabilidad en el Protocolo Independiente Multicast (PIM) de Cicso IOS XE, esta vulnerabilidad permite que un atacante mande paquetes especialmente hechos a una interfaz habilitada de PIM, de ser explotada correctamente, puede causar que el equipo se reinicie, resultando en una denegación de servicio.
- CVE-2024-20437 (CVSS: 8.1, Alta): Una vulnerabilidad enla interfaz basada en web de IOS XE puede ejecutar un ataque remoto de Cross-site request forgery (CSRF) y ejecutar comandos en el CLI del dispositivo afectado. Se puede explotar debido a que el atacante puede guiar a un usuario autenticado para que de clic en un link especialmente hecho.
- CVE-2024-20436 (CVSS 8.6, Alta): Una vulnerabilidad en HTTP Server de IOS XE se da lugar cuando el servicio de telefonía este habilitado y puede causar que un atacante remoto lleve a cabo una denegación de servicio mandando trafico HTTP hecho de una manera especial.
- CVE-2024-20467 (CVSS 8.6, Alta): Una vulnerabilidad en la implementación de Ipv4 fragmentation reassembly code en IOS XE puede permitir que un atacante cause una denegación de servicio al mandar paquetes fragmentados de tamaños específicos a través del dispositivo o Virtual Fragmentation Reassembly (VFR).
- CVE-2024-20480 (CVSS 8.6, Alta): Una vulnerabilidad la característica Snooping DHCP en IOS XE en Software-Defined Access (SD-Access) puede permitir que un atacante incremente el uso del CPU en el dispositivo afectado, esto se logra debido a que se maneja inadecuadamente los paquetes de DHCP Ipv4.
- CVE-2024-20455 (CVSS 8.6, Alta): Una vulnerabilidad en el proceso de clasificación de trafico de Unified Threat Defense (UTD) de IOS XE puede permitir que un atacante cause una denegación de servicio (DoS) enviando paquetes especialmente hechos por un túnel SD-WAN Ipsec.
- CVE-2024-20350 (CVSS 7.5, Alta): Una culnerabilidad en SSH Server puede permitir que un atacante sin autenticar remoto pretender ser un cliente SSH mediante un ataque de machine-in-the-middle e inyectar comandos en la sesión de terminal, robando así credenciales de usuarios.
Versiones Afectadas
- CVE-2024-20433 (Cvss: 8.6, Alta)
- CVE-2024-20464 (CVSS: 8.6, Alta)
- CVE-2024-20437 (CVSS: 8.1, Alta)
- CVE-2024-20436 (CVSS 8.6, Alta)
- CVE-2024-20467 (CVSS 8.6, Alta)
- CVE-2024-20480 (CVSS 8.6, Alta)
- CVE-2024-20455 (CVSS 8.6, Alta)
- 1000 Serier integrated Services Routers (ISRs)
- Catalyst 8000v Edge Software
- Catalyst 8200 Series Edge Plataforms
- Catalyst 8300 Series Edge Plataforms
- Catalyst 8500L Edge Plataforms
- Catalyst IR8300 Rugged Series Routers
- CVE-2024-20350 (CVSS 7.5, Alta)
Version de Cisco Catalyst Center
Version corregida
2.3.3 y anteriores
Migrar a una versión parchada
2.3.4
Migrar a una versión parchada
2.3.5
2.3.5.6
2.3.6
Migrar a una versión parchada
2.3.7
2.3.7.5
Recomendaciones
-
Para las siguientes vulnerabilidades:
CVE-2024-20480
CVE-2024-20467
CVE-2024-20436
CVE-2024-20437
CVE-2024-20464
CVE-2024-20433
Es necesario acceder a cualquier aviso de seguridad de Cisco sobre estas vulnerabilidades y navegar hasta el apartado de “Fixed relases” donde se encontrara un campo para verificar los parches disponibles para la versión IOS XE con la que se cuente. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rsvp-dos-OypvgVZf
-
Para la vulnerabilidad CVE-2024-20350 es necesario actualizar según la versión con la que se cuente:
2.3.3, 2.3.4, 2.3.6 y anteriores se necesita migrar a una verion que cuente con el parche
2.3.5 actualizar a la versión 2.3.5.6
2.3.7 actualizar a la versión 2.3.7.5
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- CISCO (2024, septiembre 25) Cisco IOS and IOS XE Software Resource Reservation Protocol Denial of Service Vulnerability. Recuperado el 26 de septiembre del 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rsvp-dos-OypvgVZf
- CISCO (2024, septiembre 25) Cisco IOS XE Software Protocol Independent Multicast Denial of Service Vulnerability. Recuperado el 26 de septiembre del 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pim-APbVfySJ
- CISCO (2024, septiembre 25) Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability. Recuperado el 26 de septiembre del 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webui-csrf-ycUYxkKO
- CISCO (2024, septiembre 25) Cisco IOS XE Software HTTP Server Telephony Services Denial of Service Vulnerability. Recuperado el 26 de septiembre del 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-httpsrvr-dos-yOZThut
- CISCO (2024, septiembre 25) Cisco IOS XE Software IPv4 Fragmentation Reassembly Denial of Service Vulnerability. Recuperado el 26 de septiembre del 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpp-vfr-dos-nhHKGgO
- CISCO (2024, septiembre 25) Cisco IOS XE Software SD-Access Fabric Edge Node Denial of Service Vulnerability. Recuperado el 26 de septiembre del 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cpp-vfr-dos-nhHKGgO
- CISCO (2024, septiembre 25) Cisco Catalyst SD-WAN Routers Denial of Service Vulnerability. Recuperado el 26 de septiembre del 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-utd-dos-hDATqxs
- CISCO (2024, septiembre 25) Cisco Catalyst Center Static SSH Host Key Vulnerability. Recuperado el 26 de septiembre del 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-ssh-e4uOdASj
