Vulnerabilidad de riesgo alto afecta a productos de Cisco, y permitiría realizar ataques de DoS

Recientemente fue descubierta una vulnerabilidad, que afecta a diversos productos de Cisco con el software NX-OS, la misma ha sido identificada y catalogada como CVE-2020-10136 de riesgo alto. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto no autenticado realizar ataques de denegación de servicios (DoS) u omitir la seguridad del dispositivo.

Entre los productos afectados, se encuentran:

• Nexus 1000 Virtual Edge for VMware vSphere,
• Nexus 1000V Switch for Microsoft Hyper-V,
• Nexus 1000V Switch for VMware vSphere,
• Nexus 3000 Series Switches,
• Nexus 5500 Platform Switches,
• Nexus 5600 Platform Switches,
• Nexus 6000 Series Switches,
• Nexus 7000 Series Switches,
• Nexus 9000 Series Switches en modo independiente NX-OS,
• UCS 6200 Series Fabric Interconnects,
• UCS 6300 Series Fabric Interconnects.

Detalles Técnicos

Este fallo se da debido a un procesamiento y desencapsulamiento inesperado de las IPs alojadas dentro de paquetes IP, las cuales están destinadas a la configuración local de la dirección IP. Un atacante podría explotar exitosamente esta vulnerabilidad enviando una IP maliciosa dentro de un paquete IP al dispositivo vulnerable, lo cual podría provocar que los paquetes IP pasen por alto las listas de control de acceso de entrada (ACL) configuradas en el dispositivo afectado u otros límites de seguridad definidos en la red.

Bajo ciertas condiciones podría causar que el proceso de la pila de red sea bloqueado y reiniciado múltiples veces llevando a una denegación de servicios (DoS) en el dispositivo afectado.En GitHub ha sido publicada una prueba de concepto de la explotación de esta vulnerabilidad, la misma se encuentra disponible en el siguiente enlace.

Recomendaciones:

• Aplicar la actualización del software NX-OS de Cisco, la misma se encuentra disponible en la página de descarga de software oficial de Cisco para los siguientes productos:
  • Nexus 1000V Switches para VMware vSphere: actualizar desde aquí,
  • Nexus 3000 Series Switches: actualizar a la versión 6.0(2)U5(1) desde aquí,
  • Nexus 5000 y 6000 Series Switches: actualizar a las versiones 7.3(8)N1(1), 7.3(8)N1(0.793) o 7.3(7)N1(1b) desde aquí,
  • Nexus 7000 y 9000 Series Switches: actualizar a las versiones 7.3(6)SMU(1.2), 6.2(24a)S1 o 6.2(24.2)S0 desde aquí,
  • UCS 6200 Y 6300 Series Fabric Interconnects: actualizar desde aquí.
• En caso de no ser posible la actualización, Cisco recomienda como medida alternativa,utilizar la “infrastructure control lists” o iACLs para controlar el tráfico del dispositivo afectado, también se recomienda negar todos los paquetes IP con el protocolo número 4.

Referencias:

• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ipip-dos-kCT9X4
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-errores-procesamiento-datos-productos-cisco
• https://kb.cert.org/vuls/id/636397