Cisco advierte sobre errores críticos en switches, con código de explotación pública
AS-036-2023
Fecha: 29/May/2023
Resumen:
Cisco advirtió a los clientes de cuatro vulnerabilidades críticas de ejecución remota de código con código de explotación pública, lo cual afecta a múltiples switches de la serie Small Business. Las cuatro fallas de seguridad recibieron calificaciones de gravedad casi máximas con puntuaciones base CVSS de 9.8 / 10. La explotación exitosa permite a los atacantes no autenticados ejecutar código arbitrario con privilegios de root en dispositivos comprometidos.
Vulnerabilidades.
Las vulnerabilidades, rastreadas como CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 y CVE-2023-20189, son causadas por una validación incorrecta de las solicitudes enviadas a las interfaces web de los conmutadores objetivo.
Lista de switches afectados:
- 250 Series Smart Switches, 350 Series Managed Switches, 350X Series Stackable Managed Switches, y 550X Series Stackable Managed Switches (reparado en la versión de firmware 2.5.9.16).
- Business 250 Series Smart Switches and Business 350 Series Managed Switches (reparado en la versión de 3.3.0.16).
- Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches, Small Business 500 Series Stackable Managed Switches (no hay parche disponible).
Cisco informa que el firmware de los switches para pequeñas empresas de las series 200 , 300 y 500 no se parcheará porque estos dispositivos ya entraron en el proceso de fin de vida útil.
Referencia:
