Esta ha sido una semana muy ocupada para el equipo de análisis de vulnerabilidades de Cisco. Hace algunas horas, la compañía anunció a sus usuarios que algunos de sus dispositivos Small Business Switch, ampliamente usados en pequeños y medianos negocios, presentan algunas vulnerabilidades consideradas críticas; de ser explotadas, estas fallas podrían permitir la exposición de información confidencial y el despliegue de ataques de denegación de servicio (DoS).
Cisco recibió el reporte de estas vulnerabilidades (CVE-2019-15993 y CVE-20203149) de una firma de seguridad informática. Las fallas afectan la interfaz de administración web de los dispositivos comprometidos y pueden ser explotadas por usuarios remotos no autenticados.
En su reporte de análisis de vulnerabilidades, Cisco menciona que la potencial filtración de información confidencial existe debido a la ausencia de los controles de autenticación adecuados, además, todo lo que requiere un actor de amenazas para explotar la falla es enviar solicitudes HTTP especialmente diseñadas a la interfaz de administración web del switch.
Respecto a la vulnerabilidad DoS, Cisco menciona que existe debido a una validación incorrecta en las solicitudes enviadas a la interfaz web del switch. La falla puede ser explotada para hacer que el dispositivo objetivo se recargue y entre en condición DoS con el envío de solicitudes maliciosas. La vulnerabilidad DoS afecta a los siguientes productos de Cisco siempre y cuando ejecuten una versión de firmware anterior a 1.3.7.18:
- 200 Series Smart Switches
- 300 Series Managed Switches
- 500 Series Stackable Managed Switches
El equipo de análisis de vulnerabilidades de Cisco menciona que ambos errores de seguridad ya han sido abordados, además de que se desconocen casos de explotación activa en escenarios reales. Se recomienda a los administradores de los productos afectados instalar las actualizaciones a la brevedad, ya que no se conocen soluciones alternativas funcionales hasta el momento.
Esta es la tercera ocasión en menos de siete días en la que Cisco lanza actualizaciones de seguridad para algunos productos. Hace apenas un par de días, el Instituto Internacional de Seguridad Cibernética (IICS) reportó una vulnerabilidad en Webex que podía ser explotada para acceder a cualquier sesión de videoconferencia sin necesidad de una contraseña; la falla fue corregida a la brevedad, aunque es probable que haya sido explotada antes del lanzamiento del parche de seguridad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
