• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    Múltiples vulnerabilidades en Cisco IOS y Cisco IOS XE
    05/02/2018
    =============================================
    CVE-2017-3860, CVE-2017-3861, CVE-2017-3862 y CVE-2017-386
    Fecha de lanzamiento: 05/02/2018
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    Se han publicado vulnerabildades en dispositivos Cisco IOS y Cisco IOS XE que podrían permitir a un usuario remoto sin credenciales causar un desbordamiento de búfer que podría ocasionar una denegación de servicio en los dispositivos afectados.

    INFORMACIÓN
    --------------------------------------------------------------------------------

    Cisco IOS (originalmente Internetwork Operating System) es el software utilizado en la gran mayoría de routers y switches de Cisco Systems. IOS es un paquete de funciones de enrutamiento, conmutamiento, trabajo de internet y telecomunicaciones que se integra estrechamente con un sistema operativo multitarea.

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    Un atacante podría explotar estas vulnerabilidades enviando paquetes TCP o UDP al puerto 43440, pudiendo ocasionar un desbordamiento de búfer que cause un reinicio del dispositivo, dando lugar a una denegación de servicio.

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    Dispositivos que dispongan del software Cisco IOS o Cisco IOS XE y gestionen dispositivos empleando el módulo EnergyWise.

    Cisco ha puesto a disposición de los usuarios una herramienta que ayuda a determinar a qué vulnerabilidades se está expuesto denominada Cisco IOS Software Checker: https://tools.cisco.com/security/center/selectIOSVersion.x

    SOLUCIÓN
    --------------------------------------------------------------------------------

    Cisco ha publicado una actualización gratuita que soluciona las vulnerabilidades.

    Si se dispone de una licencia, el parche se obtiene de manera automática.
    Si no se dispone de una licencia , para obtener la actualización se puede contactar con el servicio de soporte de Cisco, proporcionándo el número de serie del dispositivo afectado.

    FUENTE
    --------------------------------------------------------------------------------

    https://www.certsi.es/