Cisco ha anunciado la existencia de una vulnerabilidad
de denegación de servicio en el módulo EnergyWise de dispositivos con software
Cisco IOS y Cisco IOS XE.
Cisco EnergyWise
comenzó como un protocolo basado en el software Cisco IOS utilizado para medir
y controlar el uso de energía en la red de la compañía. Cisco EnergyWise
permite monitorizar y gestionar el uso de energía por los dispositivos de la
red.
Detalle e Impacto de la
vulnerabilidad
- La vulnerabilidad se debe a untratamiento incorrecto de paquetes EnergyWise específicamente construidos. Un atacante remoto sin autenticar podrá explotar esta vulnerabilidad para provocar el reinicio del dispositivo mediante el envío de paquetes EnergyWise manipulados. La repetición del ataque de forma continuada podrá provocar la condición de denegación de servicio.
- La vulnerabilidad tiene asignado el CVE-2014-3327, y con un CVSS de 7,8.
- Cisco ha publicado actualizaciones gratuitas para corregir este problema, disponibles a través de los canales habituales.
- Cisco IOS Software and Cisco IOS XE Software EnergyWise Crafted Packet Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140806-energywise