Alertas de seguridad

Vulnerabilidad de acceso no autorizado en Cisco IOx

Esta vulnerabilidad se encuentra en el entorno de la aplicación IOx para el software Cisco IOS. Permite que un atacante remoto autenticado obtenga acceso no autorizado al sistema operativo invitado (SO huésped) que se ejecuta en un dispositivo afectado.

vulnerabilidad cisco IOx

La vulnerabilidad se debe a una evaluación incorrecta del control de acceso basado en roles (RBAC) cuando un usuario con pocos privilegios solicita acceso a un SO invitado, que debe restringirse a cuentas administrativas. Un atacante podría aprovechar esta vulnerabilidad autenticándose en el sistema operativo invitado utilizando las credenciales de usuario con privilegios bajos. Un exploit podría permitir al atacante obtener acceso no autorizado al sistema operativo invitado como usuario root.

Recursos afectados por la vulnerabilidad en Cisco IOx

Esta vulnerabilidad afecta a los enrutadores de servicios integrados industriales de la serie 800 de Cisco y a los enrutadores de red conectados de la serie 1000 de Cisco (CGR 1000) que ejecutan una versión vulnerable del software Cisco IOS con SO invitado instalado.

Cisco ha confirmado que esta vulnerabilidad no afecta el software Cisco IOS XE, el software Cisco IOS XR ni el software Cisco NX-OS.

Detalles de la vulnerabilidad 

 Los enrutadores de servicios integrados industriales de Cisco y los enrutadores de red conectados de la serie Cisco 1000 (CGR 1000) están diseñados en una arquitectura de hipervisor, donde IOS y un sistema operativo invitado, como un sistema operativo Linux, se ejecutan como dos máquinas virtuales (VM) separadas.

El SO invitado está disponible como parte de un paquete de imágenes IOS que contiene las imágenes del hipervisor, IOS e invitado. Los clientes que utilizaron un paquete de imágenes del software Cisco IOS para realizar una instalación inicial o una actualización de software tendrán el sistema operativo invitado instalado automáticamente como parte de la instalación del paquete de imágenes del software.

El acceso al sistema operativo invitado depende del control de acceso basado en roles de IOS (RBAC) y debe restringirse a los usuarios que tienen credenciales de nivel de privilegio 15 en IOS. La explotación de esta vulnerabilidad podría permitir al atacante iniciar sesión con éxito en el sistema operativo invitado, utilizando credenciales de usuario de IOS con pocos privilegios.

La vulnerabilidad descrita en este aviso está localizada dentro de la instancia del SO invitado. Bajo ninguna circunstancia una explotación podría permitir al atacante obtener acceso administrativo al software IOS que se ejecuta en un dispositivo afectado. Por esta razón, aunque el puntaje del sistema de puntuación de vulnerabilidad común (CVSS) corresponde a una representación cualitativa crítica, esta vulnerabilidad se considera calificación de impacto de seguridad ALTA (SIR).

Acciones recomendadas para mitigar la vulnerabilidad

No hay soluciones alternativas que aborden esta vulnerabilidad.

La desactivación del sistema operativo invitado elimina el vector de ataque para esta vulnerabilidad y puede ser una mitigación adecuada hasta que los dispositivos afectados puedan actualizarse. Los administradores pueden desinstalar el SO invitado utilizando el comando de desinstalación de imagen <ID> guest-os en el modo de configuración global. El siguiente ejemplo muestra el resultado del comando show platform guest-os para un dispositivo que tiene el SO invitado desinstalado:

Router#show platform guest-os      

Guest OS status:

Installation: Unknown

State: STOPPED