In quanto set semestrale di informazioni sulla sicurezza del software per i suoi prodotti Cisco IOS e IOS XE, Cisco ha rivelato più di una dozzina di gravi vulnerabilità nel suo software di automazione della rete.
Il gigante delle reti consiglia a tutti gli amministratori di controllare quali versioni di Cisco IOS e IOS XE sono attive per assicurarsi che siano state aggiornate alle versioni che risolvono le 13 vulnerabilità rilevate.
Le 13 vulnerabilità molto gravi rivelate da Cisco potrebbero consentire a un utente malintenzionato di accedere non autorizzato a un dispositivo interessato, consentire loro di lanciare un attacco di iniezione di comandi o esaurire le risorse di un dispositivo, portando a una negazione del servizio.
Il bug CVE-2019-12648 nell'ambiente applicativo IOx IOS è il più grave e riguarda i grandi operatori di rete che utilizzano la serie 800 di router a servizi integrati e relativi router Fortunatamente, il bug è contenuto in un sistema operativo guest in esecuzione su una macchina virtuale di un dispositivo iOS interessato. Tuttavia, questo problema può essere risolto aggiornando a una versione fissa di iOS. Tuttavia, se ciò non è possibile, Cisco suggerisce agli utenti di disabilitare il sistema operativo guest e indica come disinstallarlo nella loro notifica.
Utilità di sniffing di rete di livello 2
Cisco ha anche pubblicato un avviso su un problema riscontrato nell'utilità di sniffing di rete di livello 2 in IOS e IOS XE. Questa funzione è abilitata per impostazione predefinita per gli switch Cisco Catalyst e, secondo l'azienda, per questo problema è già disponibile un codice exploit pubblico.
Il server L2 Traderout non richiede l'autenticazione in base alla progettazione, il che significa che un utente malintenzionato può raccogliere molte informazioni su un dispositivo interessato, inclusi nome host, modello hardware, interfacce e indirizzi. IP configurati, database VLAN, indirizzo Mac, tabella di filtraggio di livello 2 e Cisco. Informazioni sui vicini del protocollo di rilevamento.
Nella sua opinione su questo problema, Cisco ha spiegato: "La lettura di queste informazioni da più switch di rete potrebbe consentire a un utente malintenzionato di creare una mappa topologica L2 completa di quella rete".
Per risolvere il problema, gli utenti possono disabilitare manualmente il server tracerouter L2 o eseguire l'aggiornamento a una versione IOS o IOS XE disabilitata per impostazione predefinita. Tuttavia, sarà possibile solo entro la fine dell'anno, quando Cisco rilascerà versioni aggiornate del software.
Tramite ZDNet