Falhas críticas foram corrigidas nos Switches Cisco Small Business

falha-no-software-cisco-asyncos-permite-ataque-xss

A Cisco acaba de corrigir nove falhas críticas em seus switches da série Small Business que poderiam ser exploradas para executar código arbitrário ou causar uma condição DoS.

Cisco corrige falhas nos switches Cisco Small Business

A Cisco lançou atualizações de segurança para solucionar nove vulnerabilidades de segurança na interface do usuário baseada na Web de determinados comutadores da série Small Business que podem ser exploradas por um invasor remoto não autenticado para executar código arbitrário com privilégios de root ou acionar uma negação de serviço (DoS).

Múltiplas vulnerabilidades na interface de usuário baseada na web de certos switches Cisco Small Business Series podem permitir que um invasor remoto não autenticado cause uma condição de negação de serviço (DoS) ou execute código arbitrário com privilégios de root em um dispositivo afetado.

Essas vulnerabilidades são devidas à validação inadequada de solicitações enviadas à interface da web.

falhas-criticas-foram-corrigidas-nos-switches-cisco-small-business

Não há soluções alternativas para lidar com essas vulnerabilidades. Essas vulnerabilidades afetam os seguintes switches Cisco Small Business:

  • Interruptores inteligentes da série 250;
  • Switches Gerenciáveis Série 350;
  • Switches gerenciáveis empilháveis da série 350X;
  • Switches gerenciáveis empilháveis da série 550X;
  • Interruptores inteligentes empresariais da série 250;
  • Switches Gerenciáveis Business 350 Series;
  • Interruptores inteligentes da série 200 para pequenas empresas;
  • Switches gerenciáveis para pequenas empresas da série 300;
  • Switches gerenciáveis empilháveis para pequenas empresas série 500;

A Cixco confirmou que essas vulnerabilidades não afetam os seguintes produtos da Cisco: Interruptores inteligentes da série 220 e; Interruptores inteligentes empresariais da série 220. As vulnerabilidades não dependem umas das outras, o que significa que a exploração de uma delas não é necessária para explorar outra falha.

Exploração das vulnerabilidades

Um invasor pode explorar essas vulnerabilidades enviando uma solicitação criada por meio da interface do usuário baseada na Web. O fornecedor afirma que não lançará atualizações de firmware para lidar com as vulnerabilidades acima nos produtos EoL Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches e Small Business 500 Series Stackable Managed Switches:

  • Anúncio de fim de venda e fim de vida útil dos switches inteligentes Cisco Small Business 200 Series;
  • Anúncio de fim de venda e fim de vida útil dos switches gerenciados Cisco Small Business 300 Series;
  • Anúncio de fim de venda e fim de vida útil dos switches gerenciáveis empilháveis para pequenas empresas da série 500.

A equipe de resposta a incidentes de segurança do produto (PSIRT) da empresa está ciente de que o código de exploração de prova de conceito está disponível para as vulnerabilidades acima. O PSIRT não está ciente de ataques na natureza explorando essas vulnerabilidades.