Alertas de seguridad

Vulnerabilidades en CISCO

Una vulnerabilidad en el controlador de mensajes DHCP del software Cisco IOS XE para enrutadores de banda ancha convergente Cisco cBR-8 podría permitir que un atacante remoto no autenticado haga que el supervisor falle, lo que podría resultar en una condición de denegación de servicio (DoS).

La vulnerabilidad se debe a un manejo de errores insuficiente cuando se analizan los mensajes de DHCP versión 4 (DHCPv4). Un atacante podría aprovechar esta vulnerabilidad enviando un mensaje DHCPv4 malintencionado a través de una interfaz WAN de un dispositivo afectado. Un exploit exitoso podría permitir al atacante provocar una recarga del dispositivo afectado.

Nota: En los routers de banda ancha convergente Cisco cBR-8, todos los siguientes se consideran interfaces WAN:

  • Interfaces Ethernet de 10 Gbps
  • Interfaces Ethernet de 100 Gbps
  • Interfaces de canal de puerto que incluyen múltiples interfaces Ethernet de 10 y / o 100 Gbps

Productos afectados

Esta vulnerabilidad afecta a los enrutadores de banda ancha convergente Cisco cBR-8 si ejecutan una versión vulnerable del software Cisco IOS XE y tienen una interfaz WAN conectada. En estos dispositivos, la función de retransmisión DHCP está habilitada de forma predeterminada en todas las interfaces WAN y no se puede deshabilitar.

Productos confirmados no vulnerables

Solo los productos enumerados en la sección Productos vulnerables de este aviso se ven afectados por esta vulnerabilidad.

Cisco ha confirmado que esta vulnerabilidad no afecta a los siguientes productos de Cisco:

  • Software IOS
  • Software IOS XR
  • Software NX-OS

Acciones recomendadas

No hay soluciones alternativas que aborden estas vulnerabilidades.

Para reducir la superficie de ataque, los clientes pueden aplicar listas de control de acceso a la infraestructura (iACL) que permiten mensajes DHCP desde solo servidores DHCP confiables a todas las interfaces WAN. El uso de iACL es una de las mejores prácticas de seguridad de la red y una adición a largo plazo a una buena seguridad de la red, así como una mitigación parcial de esta vulnerabilidad.

Cisco ha publicado actualizaciones de software gratuitas que abordan la vulnerabilidad descrita en este aviso. Los clientes solo pueden instalar y esperar soporte para versiones de software y conjuntos de funciones para los que hayan comprado una licencia. Al instalar, descargar, acceder o utilizar dichas actualizaciones de software, los clientes aceptan seguir los términos de la licencia de software de Cisco:

https://www.cisco.com/c/en/us/products/end-user-license- acuerdo.html

Además, los clientes solo pueden descargar software para el que tengan una licencia válida, adquirido directamente de Cisco o a través de un distribuidor o socio autorizado de Cisco. En la mayoría de los casos, será una actualización de mantenimiento del software que se compró anteriormente. Las actualizaciones de software de seguridad gratuitas no dan derecho a los clientes a obtener una nueva licencia de software, conjuntos de funciones de software adicionales o actualizaciones de revisión importantes.