Se han detectado
múltiples vulnerabilidades de severidad crítica en dispositivos Cisco que
empleen IOS o IOS XE. La explotación de estas vulnerabilidades podrían permitir
a un atacante remoto, sin autenticación causar una condición de denegación de
servicio o la ejecución de código arbitrario con elevación de privilegios,
catalogadas de Importancia: 5 - Crítica
También se han detectado múltiples
vulnerabilidades de criticidad alta que afectan a los mismos productos, más
detalles desde https://tools.cisco.com/security/center/publicationListing.x
Recursos afectados:
1.
Cisco
IOS.
2.
Cisco
IOS XE.
Recomendación
Cisco ha publicado
una actualización gratuita que soluciona las vulnerabilidades. Para determinar
si el dispositivo es vulnerable Cisco ha publicado una herramienta en línea.
Cisco IOS Software Checker.
Los usuarios que posean
un contrato de servicio en vigor, podrán descargar una actualización que
solucione la vulnerabilidad de su producto en https://software.cisco.com/download/navigator.html
Si no se posee un
contrato de servicio, por favor consultar con su Cisco TAC: https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
Detalle de vulnerabilidades
Las vunerabilidades
de criticidad alta son:
Una vulnerabilidad en
Smart Install de Cisco IOS e IOS XE debida a una validación incorrecta datos al
enviar un paquete malformado al puerto TCP 4786 del dispositivo podría permitir
a un atacante remoto sin autenticación generar una situación de denegación de
servicio o la ejecución arbitraria de código. Se ha reservado el identificador
CVE-2018-0171 para esta vulnerabilidad.
Una vulnerabilidad en
Cisco IOS podría permitir a un atacante remoto sin autenticar acceder al
dispositivo afectado empleando el usuario y contraseña que se utiliza en el
primer inicio del dispositivo. Esta vulnerabilidad podría permitir acceder al
dispositivo con una cuenta con privilegios de nivel 15. Se ha reservado el
identificador CVE-2018-0150 para esta vulnerabilidad.
Una vulnerabilidad en
el subsistema Quality of Service (QoS) de los dispositivos Cisco IOS e IOS XE
debida a una mala comprobación en los límites de algunos paquetes UDP
destinados al puerto 18999 podría permitir a un atacante remoto provocar un
desbordamiento de búfer que genere una condición de denegación de servicio o la
ejecución arbitraria de código con elevación de privilegios.
Más información
- Certsy https://www.certsi.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-ios-e-ios-xe-cisco
Fuente: INCIBE