Cisco corrige un error crítico en el contenedor de servicios virtuales para IOS

Cisco publicó una actualización para su sistema operativo IOS XE para parchear una vulnerabilidad crítica que podría permitir que un atacante remoto omita la autenticación en dispositivos que ejecutan una versión desactualizada de contenedores de servicios virtuales.

Los contenedores de servicios virtuales se utilizan para ejecutar procesos en un entorno aislado. Vienen como un paquete de aplicación virtual abierta (OVA) y pueden ejecutar aplicaciones que sirven para varios propósitos.

Los administradores pueden equipar la máquina con herramientas para solucionar problemas y para cumplir funciones de red comunes, o para análisis y monitoreo. Un uso común es ampliar las capacidades de la red host.

Puntuación de gravedad máxima

El problema de seguridad se rastrea como CVE-2019-12643. Recibió el puntaje de severidad máximo de 10 y reside en el contenedor de servicio virtual REST API para el sistema operativo de Cisco.

Los siguientes productos se ven afectados por esta falla de seguridad:

- Routers de servicios integrados de la serie Cisco 4000
- Routers de servicios de agregación Cisco ASR serie 1000
- Router Cisco Cloud Services serie 1000V
- Router virtual de servicios integrados de Cisco

La explotación es posible si se cumplen condiciones específicas simplemente enviando solicitudes HTTP maliciosas a un dispositivo de destino. Si un administrador está en la interfaz API REST, un adversario puede obtener su 'token-id' y ejecutar comandos con privilegios elevados.

Además de la autenticación de un administrador, el dispositivo de destino también debe haber habilitado una versión vulnerable del contenedor de servicios virtuales API REST de Cisco.

Los administradores de red deben instalar la versión 16.09.03 del contenedor del dispositivo virtual REST API ("iosxe-remote-mgmt.16.09.03.ova"), que corrige el error de omisión de autenticación. Para proteger aún más a los clientes, Cisco lanzó una versión reforzada del software IOS XE que no permite la instalación o activación de un dispositivo contenedor vulnerable.

"Si el dispositivo ya estaba configurado con un contenedor vulnerable activo, la actualización del software IOS XE desactivará el contenedor, haciendo que el dispositivo no sea vulnerable. En ese caso, para restaurar la funcionalidad API REST, los clientes deben actualizar el contenedor del servicio virtual API REST de Cisco a una versión de software fija ". - Cisco

No hay soluciones disponibles, dice la compañía en el aviso de seguridad.  para la falla. El Equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) no es consciente de que esta vulnerabilidad está siendo explotada.

- Errores de gravedad alta y media
- Errores de gravedad alta y media

Además de este aviso, la compañía publicó anuncios de seguridad para otros nueve problemas de gravedad alta y media que afectan la interconexión de tela del Sistema de Computación Unificada (UCS), FXOS, NX-OS y Nexus 9000 Series Fabric Switches.


Cuatro de los problemas de alta gravedad se encontraron en el software NX-OS. Dos permiten que un atacante remoto no autenticado bloquee el dispositivo ( CVE-2019-1962 ) o provoque un reinicio inesperado del proceso de netstack ( CVE-2019-19624 ).

Los otros dos permitieron que un adversario conectado iniciara la aplicación SNMP ( CVE-2019-1963 ) o agotara la memoria del sistema al evitar que un proceso de shell virtual (VSH) se elimine al finalizar una conexión remota ( CVE-2019-1965 ) .

El problema de alta gravedad en la interconexión Fabric de Cisco se rastrea como CVE-2019-1966 y conduce a la escalada de privilegios locales al nivel de permiso de root. El adversario puede explotar "opciones de subcomando extrañas presentes para un comando CLI específico dentro del contexto local-mgmt".

Cisco descubrió internamente todas las vulnerabilidades descritas en el boletín de hoy durante las pruebas de seguridad o se descubrieron al resolver casos de atención al cliente-

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta