Seguridad

Cisco lanza 29 parches de seguridad: 5 críticos y 17 altos en la última semana

Cisco ha lanzado en los que llevamos de semana más de 29 parches de seguridad para corregir múltiples vulnerabilidades en diferentes productos de las cuales cinco de ellas están calificadas de riesgo crítico y diecisiete de riesgo alto podría ser utilizado para llevar a cabo ataques de diferente índole.

Cisco ha reportado múltiples vulnerabilidades en su catálogo de productos: 5 de riesgo crítico y 17 de riesgo alto. Dentro de los productos afectados se encuentran IOS, IOS XE, IOS para switches Ethernet industriales, IOS para routers de servicios integrados, Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense Software (FTD), RV132W ADSL2+ Wireless-N VPN Router, RV134W VDSL2 Wireless-AC VPN Router, HyperFlex HX, Secure Access Control System (SACS), Cisco Small Business Routers RV016, RV042, RV042G y RV082, Secure Endpoint, anteriormente Advanced Malware Protection (AMP) para Endpoints (Linux MacOS y Windows), entre otros.

Las vulnerabilidades clasificadas como (CVE-2017-12240, CVE-2018-0171, CVE-2018-0125, CVE-2021-1497, CVE-2021-1498 y CVE-2018-0147 ) han sido consideradas por Cisco de riesgo crítico en la escala CVSS con una puntuación entre 8,8 y 9,8. Dichas vulnerabilidades afectan a los productos  IOS, IOS XE , RV132W ADSL2+ Wireless-N VPN Router, RV134W VDSL2 Wireless-AC VPN Router de Cisco. Podría permitir a un atacante no autenticado y adyacente causar una condición de denegación de servicio (DoS) o ejecutar código arbitrario con privilegios elevados en un dispositivo afectado. bajo determinadas circunstancias.

Productos Afectados

La empresa Cisco ha publicado recientemente un aviso de seguridad sobre sus productos afectados:

Producto afectado – Vulnerabilidad Riesgo CVE
Vulnerabilidad de ejecución remota de código DHCP del software Cisco IOS e IOS XE Crítica CVE-2017-12240
Vulnerabilidad de denegación de servicio en el software Cisco IOS para switches Ethernet industriales Cisco PROFINET Alto CVE-2017-12235
Vulnerabilidad de denegación de servicio en el intercambio de claves de Internet del software Cisco IOS e IOS XE Alto CVE-2017-12237
Vulnerabilidad de denegación de servicio en el software Cisco IOS para routers de servicios integrados Cisco Generation 2 Alto CVE-2017-12232
Vulnerabilidad de denegación de servicio en el procesamiento de paquetes UDP del software Cisco IOS y Cisco IOS XE Medio CVE-2017-6627
Vulnerabilidad de denegación de servicio en la traducción de direcciones de red del software Cisco IOS Alto CVE-2017-12231
Vulnerabilidad de denegación de servicio en la solicitud de protocolo industrial común del software Cisco IOS Alto CVE-2017-12233CVE-2017-12234
Cisco IOS XE Software Ethernet Virtual Private Network Border Gateway Protocol Vulnerabilidad de denegación de servicio Medio CVE-2017-12319
Cisco Adaptive Security Appliance y Firepower Threat Defense Software VPN Web Client Services Client-Side Request Smuggling Vulnerability Medio CVE-2022-20713
Vulnerabilidad de ejecución remota de código en el software Cisco IOS e IOS XE Smart Install Crítico CVE-2018-0171
Vulnerabilidad de ejecución remota de código y denegación de servicio en Cisco RV132W y RV134W Crítico CVE-2018-0125
Vulnerabilidades de inyección de comandos en Cisco HyperFlex HX Crítico CVE-2021-1497
CVE-2021-1498
Vulnerabilidad de deserialización de Java en Cisco Secure Access Control System Crítico CVE-2018-0147
Vulnerabilidad de denegación de servicio en la retransmisión DHCP versión 4 del software Cisco IOS e IOS XE Alta CVE-2018-0174
Vulnerabilidad de denegación de servicio en el intercambio de claves de Internet versión 1 del software Cisco IOS e IOS XE Alto CVE-2018-0159
Vulnerabilidad de denegación de servicio en el módulo de servicios integrados del software Cisco IOS para VPN Alto CVE-2018-0154
Vulnerabilidad de denegación de servicio por desbordamiento de montón en la retransmisión de la versión 4 del software DHCP de Cisco IOS e IOS XE Alto CVE-2018-0172
Cisco IOS Software Simple Network Management Protocol GET MIB Object ID Vulnerabilidad de denegación de servicio Alto CVE-2018-0161
Vulnerabilidad de ejecución arbitraria de comandos en los routers Cisco Small Business RV016, RV042, RV042G y RV082 Alta CVE-2019-15271
Vulnerabilidad de fuga de memoria en el intercambio de claves de Internet del software Cisco IOS e IOS XE Alta CVE-2018-0158
Vulnerabilidades de desbordamiento del búfer del protocolo de descubrimiento de la capa de enlace del software Cisco IOS, IOS XE e IOS XR Alta CVE-2018-0167CVE-2018-0175
Vulnerabilidad de denegación de servicio en la respuesta de retransmisión de la versión 4 del software DHCP de Cisco IOS e IOS XE Alta CVE-2018-0173
Vulnerabilidad de denegación de servicio en la instalación inteligente del software Cisco IOS e IOS XE Alta CVE-2018-0156
Cisco IOS e IOS XE Software Bidirectional Forwarding Detection Denial of Service Vulnerability Alto CVE-2018-0155
Cisco IOS Software Login Enhancements Bloqueo de inicio de sesión Vulnerabilidad de denegación de servicio Media CVE-2018-0179CVE-2018-0180
Vulnerabilidad de fuga de memoria en la exploración HTML de ClamAV que afecta a productos Cisco: Mayo 2022 Media CVE-2022-20785
Vulnerabilidad de denegación de servicio en el análisis de archivos TIFF de ClamAV que afecta a productos Cisco: Mayo de 2022 Media CVE-2022-20771
Vulnerabilidad de denegación de servicio en el análisis de archivos CHM de ClamAV que afecta a los productos Cisco: Mayo de 2022 Media CVE-2022-20770
Vulnerabilidad de acceso no autorizado a archivos en Cisco Identity Services Engine Alto CVE-2022-20822

Solución

Cisco recomienda actualizar y parchear los productos afectados, para ello ha publicado actualizaciones de software gratuitas, que solucionan las vulnerabilidades descritas y pueden ser descargadas desde el Centro de Software.

Más información:

La entrada Cisco lanza 29 parches de seguridad: 5 críticos y 17 altos en la última semana se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.