Cisco opravuje kritické zero-day zraniteľnosti prepínačov

Spoločnosť Cisco opravila viacero kritických a vysoko závažných zraniteľností vo svojom produktovom rade Small Business Series Switches. Zraniteľnosti sa týkajú nevhodnej validácie požiadaviek posielaných na používateľské sieťové rozhranie. Štyri kritické umožňujú vzdialené vykonávanie kódu a existuje pre verejne dostupný kód pre ich zneužitie. Ostatné umožňujú vyvolať nedostupnosť služby alebo dovoľujú čítať citlivé informácie.

Zraniteľné systémy:

  • 250 Series Smart Switches, firmvér po verziu 2.5.9.15
  • 350 Series Managed Switches, firmvér po verziu 2.5.9.15
  • 350X Series Stackable Managed Switches, firmvér po verziu 2.5.9.15
  • 550X Series Stackable Managed Switches, firmvér po verziu 2.5.9.15
  • Business 250 Series Smart Switches, firmvér po verziu 3.3.0.15
  • Business 350 Series Managed Switches, firmvér po verziu 3.3.0.15
  • Small Business 200 Series Smart Switches, všetky verzie firmvéru
  • Small Business 300 Series Managed Switches, všetky verzie firmvéru
  • Small Business 500 Series Stackable Managed Switches, všetky verzie firmvéru

Opis činnosti:

CVE-2023-20159 (CVSS 9,8), CVE-2023-20160 (CVSS 9,8), CVE-2023-20161 (CVSS 9,8), CVE-2023-20189 (CVSS 9,8)

Spoločnosť Cisco opravila štyri kritické zraniteľnosti svojich prepínačov série Small Business Series Switches, pre ktoré existuje verejne dostupný kód pre ich zneužitie. Zraniteľnosti umožňujú neautentifikovanému útočníkovi vzdialene vykonávať kód na zraniteľných zariadeniach s oprávneniami používateľa root. Chyby spočívajú v nevhodnej kontrole požiadaviek odosielaných sieťovému používateľskému rozhraniu, čo môže viesť ku pretečeniu medzipamäte na zásobníku alebo segmente BSS.

CVE-2023-20024 (CVSS 8,6), CVE-2023-20156 (CVSS 8,6), CVE-2023-20157 (CVSS 8,6), CVE-2023-20158 (CVSS 8,6)

Okrem toho spoločnosť opravila ďalšie štyri vysoko závažné zraniteľnosti, ktorých zneužitie môže viesť ku nedostupnosti služby. Jedná sa rovnako o chyby validácie požiadaviek zasielaných na sieťové používateľské rozhranie. Pri troch z nich môže byť dôsledkom pretečenie pamäte na halde, pre štvrtú nebola zverejnená bližšia informácia. 

CVE-2023-20162 (CVSS 7,5)

Nakoniec spoločnosť opravila vysoko závažnú zraniteľnosť, ktorej zneužitie umožňuje útočníkovi čítať citlivé konfiguračné informácie na zraniteľnom zariadení. Aj v tomto prípade ide o chybu validácie požiadaviek zasielaných na sieťové používateľské rozhranie.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vzdialené vykonávanie kódu s právami používateľa root
  • Nedostupnosť služby (DoS)
  • Únik citlivých informácií

Odporúčania:

Mitigácia zraniteľností nie je známa. Odporúčame bezodkladnú aktualizáciu firmvéru na opravené verzie, t.j. aspoň:

  • 250 Series Smart Switches, firmvér po verziu 2.5.9.16
  • 350 Series Managed Switches, firmvér po verziu 2.5.9.15
  • 350X Series Stackable Managed Switches, firmvér po verziu 2.5.9.16
  • 550X Series Stackable Managed Switches, firmvér po verziu 2.5.9.16
  • Business 250 Series Smart Switches, firmvér po verziu 3.3.0.16
  • Business 350 Series Managed Switches, firmvér po verziu 3.3.0.16

Pre nasledujúce zariadenia Cisco nevydá opravné aktualizácie z dôvodu ukončenia ich podpory:

  • Small Business 200 Series Smart Switches, všetky verzie firmvéru
  • Small Business 300 Series Managed Switches, všetky verzie firmvéru
  • Small Business 500 Series Stackable Managed Switches, všetky verzie firmvéru

Odkazy:

https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-switch-bugs-with-public-exploit-code/

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv

https://securityaffairs.com/146383/breaking-news/critical-flaws-cisco-small-business-switches.html