Gravedad: Altas
Fecha de publicación: Julio 4, 2019
Fecha de modificación: Julio 4, 2019
Última revisión: Revisión A.
Fuente: Cisco Security Advisories and Alerts
Sistemas Afectados
• Cisco AsyncOS
• Switches Small Business de las series 200, 300 y 500 de Cisco que ejecutan versiones anteriores a la 1.4.10.6
• Cisco Enterprise Network Function Virtualization Infrastructure Software (NFVIS) que ejecutan versiones anteriores a la 3.10.1
• Cisco Switches Nexus de las series 9000 en modo ACI que ejecutan versiones anteriores a la 14.1
• Cisco Jabber para Windows anteriores a 12.6
• Cisco Unified Communications Manager
• Cisco APIC Software anteriores a 4.1
I. Descripción
La empresa Cisco ha publicado múltiples actualizaciones de seguridad que aborda vulnerabilidades de las que podemos mencionar:
• Vulnerabilidad de Cisco AsyncOS que permite la denegación de servicio del certificado HTTPS de Web Security Appliance.
• Vulnerabilidad de daños en la memoria relacionada con los switches de la serie Small Business.
• Small Business Series podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado.
• Vulnerabilidad de lectura arbitraria y escritura de archivos de infraestructura NFVIS.
• Vulnerabilidad de Cisco Nexus 9000 Series en modo ACI, podría permitir a un atacante adyacente no autenticado eludir las validaciones de seguridad y conectar un servidor no autorizado a la VLAN de la infraestructura.
• Vulnerabilidad de Cisco Jabber para Windows podría permitir a un atacante local autenticado realizar un ataque de precarga de DLL.
• Una vulnerabilidad en la implementación del protocolo SIP (Session Initiation Protocol) del Cisco Unified Communications Manager podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS).
• Una vulnerabilidad en Cisco APIC podría permitir a un atacante remoto autenticado escalar privilegios a la raíz en un dispositivo afectado.
Se les exhorta a revisar el enlace en la sección III de referencias, para aplicar las acciones necesarias.
II. Impacto
Complejidad de Acceso: Media a Alta
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso parcial o total del sistema.
III. Referencia a soluciones, herramientas e información
a. https://tools.cisco.com/security/center/publicationListing.x
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa