Cisco advierte sobre vulnerabilidad en el software IOS, IOS XE después de intentos de explotación

Cisco está advirtiendo sobre intentos de explotación de una vulnerabilidad de seguridad en su software IOS y IOS XE que podría permitir a un atacante remoto autenticado lograr la ejecución de código remoto en sistemas afectados.

La vulnerabilidad de gravedad media se identifica como CVE-2023-20109 y tiene un puntaje CVSS de 6.6. Afecta a todas las versiones del software que tienen habilitado el protocolo GDOI o G-IKEv2.

La compañía dijo que la debilidad "podría permitir que un atacante remoto autenticado que tenga control administrativo sobre un miembro del grupo o un servidor de claves ejecute código arbitrario en un dispositivo afectado o provoque un bloqueo del dispositivo".

Además, señaló que el problema se debe a una validación insuficiente de atributos en los protocolos Group Domain of Interpretation (GDOI) y G-IKEv2 de la función GET VPN, y podría ser aprovechado tanto comprometiendo un servidor de claves instalado como modificando la configuración de un miembro del grupo para que apunte a un servidor de claves controlado por el atacante.

Se dice que la vulnerabilidad fue descubierta después de una investigación interna y una auditoría de código fuente iniciada después de un "intento de explotación de la función GET VPN".

Esta revelación se produce cuando Cisco detalla un conjunto de cinco fallas en el Catalyst SD-WAN Manager (versiones 20.3 a 20.12) que podrían permitir que un atacante acceda a una instancia afectada o provoque una condición de denegación de servicio (DoS) en un sistema afectado:

• CVE-2023-20252 (puntaje CVSS: 9.8) - Vulnerabilidad de acceso no autorizado

• CVE-2023-20253 (puntaje CVSS: 8.4) - Vulnerabilidad de reversión de configuración no autorizada

• CVE-2023-20034 (puntaje CVSS: 7.5) - Vulnerabilidad de divulgación de información

• CVE-2023-20254 (puntaje CVSS: 7.2) - Vulnerabilidad de bypass de autorización

• CVE-2023-20262 (puntaje CVSS: 5.3) - Vulnerabilidad de denegación de servicio

La explotación exitosa de estos errores podría permitir que el actor de amenazas obtenga acceso no autorizado a la aplicación como un usuario arbitrario, evada la autorización y revierta las configuraciones del controlador, acceda a la base de datos de Elasticsearch de un sistema afectado, acceda a otro inquilino gestionado por la misma instancia y provoque un bloqueo.

Se recomienda a los clientes que actualicen a una versión de software corregida para remediar las vulnerabilidades.

¿Quieres saber más?