Cisco lanzó el miércoles parches para abordar tres fallas de seguridad que afectan a sus productos, incluida una debilidad de alta gravedad revelada en NVIDIA Data Plane Development Kit (MLNX_DPDK) a fines del mes pasado.
Rastreada como CVE-2022-28199 (puntaje CVSS: 8.6), la vulnerabilidad se deriva de la falta de un manejo adecuado de errores en la pila de red de DPDK, lo que permite que un adversario remoto active una condición de denegación de servicio (DoS) y cause un impacto en integridad y confidencialidad de los datos.
«Si se observa una condición de error en la interfaz del dispositivo, el dispositivo puede recargarse o no recibir tráfico, lo que resulta en una condición de denegación de servicio (DoS)», dijo Cisco en un aviso publicado el 7 de septiembre.
DPDK se refiere a un conjunto de bibliotecas y controladores de tarjeta de interfaz de red (NIC) optimizados para el procesamiento rápido de paquetes, que ofrece un marco y una API común para aplicaciones de red de alta velocidad.
Cisco dijo que investigó su línea de productos y determinó que los siguientes servicios se vieron afectados por el error, lo que llevó al fabricante de equipos de red a lanzar actualizaciones de software:
- Software perimetral Cisco Catalyst 8000V
- Dispositivo virtual de seguridad adaptable (ASAv), y
- Firewall seguro Threat Defense Virtual (anteriormente FTDv)
Además de CVE-2022-28199, Cisco también resolvió una vulnerabilidad en su software Cisco SD-WAN vManage que podría «permitir que un atacante adyacente no autenticado que tenga acceso a la red lógica VPN0 también acceda a los puertos del servicio de mensajería en un sistema afectado». .»
La empresa culpó de la deficiencia, a la que se le asignó el identificador CVE-2022-20696 (puntuación CVSS: 7,5), a la ausencia de «mecanismos de protección suficientes» en los puertos del contenedor del servidor de mensajería. Le dio crédito a Orange Business por informar la vulnerabilidad.
La explotación exitosa de la falla podría permitir que el atacante vea e inyecte mensajes en el servicio de mensajería, lo que puede causar cambios en la configuración o hacer que el sistema se vuelva a cargar, dijo Cisco.
Una tercera falla remediada por Cisco es una vulnerabilidad en la interfaz de mensajería de la aplicación Cisco Webex ( CVE-2022-20863 , puntaje CVSS: 4.3), que podría permitir que un atacante remoto no autenticado modifique enlaces u otro contenido y realice ataques de phishing.
«Esta vulnerabilidad existe porque el software afectado no maneja correctamente la representación de caracteres», dijo. «Un atacante podría explotar esta vulnerabilidad enviando mensajes dentro de la interfaz de la aplicación».
Cisco le dio crédito a Rex, Bruce y Zachery del Binance Red Team por descubrir y reportar la vulnerabilidad.
Por último, también reveló detalles de un error de omisión de autenticación ( CVE-2022-20923 , puntaje CVSS: 4.0) que afecta a los enrutadores Cisco Small Business RV110W, RV130, RV130W y RV215W, que dijo que no se solucionará debido a que los productos están llegando al final. de vida (EOL).
«Cisco no ha lanzado y no lanzará actualizaciones de software para abordar la vulnerabilidad», dijo, alentando a los usuarios a «migrar a los enrutadores Cisco Small Business RV132W, RV160 o RV160W».