Torre del Mar 18 de diciembre de 2022
Una vulnerabilidad en la implementación de la funcionalidad de intercambio de claves de Internet versión 1 (IKEv1) en el software Cisco IOS y el software Cisco IOS XE podría permitir que un atacante remoto no autenticado haga que un dispositivo afectado se recargue, lo que resulta en una condición de denegación de servicio (DoS).
La vulnerabilidad se debe a una validación incorrecta de paquetes IKEv1 específicos. Un atacante podría aprovechar esta vulnerabilidad enviando paquetes IKEv1 manipulados a un dispositivo afectado durante una negociación IKE. Una explotación exitosa podría permitir que el atacante provoque que un dispositivo afectado se vuelva a cargar, lo que resultaría en una condición DoS.
Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad.
Este aviso es parte del lanzamiento del 28 de marzo de 2018 de la publicación conjunta de avisos de seguridad de software Cisco IOS e IOS XE, que incluye 20 avisos de seguridad de Cisco que describen 22 vulnerabilidades. Para obtener una lista completa de los avisos y enlaces a ellos, consulte Respuesta de evento de Cisco: publicación semestral de avisos de seguridad de software Cisco IOS e IOS XE de marzo de 2018.
Productos afectados y vulnerables
Esta vulnerabilidad afecta a los dispositivos Cisco que ejecutan una versión vulnerable del software Cisco IOS o el software Cisco IOS XE y tienen habilitado el protocolo de administración de claves y asociación de seguridad de Internet (ISAKMP).
Para obtener información acerca de qué versiones del software Cisco IOS e IOS XE son vulnerables, consulte la sección Software reparado de este documento informativo.
Aunque solo se pueden usar paquetes IKEv1 para desencadenar esta vulnerabilidad, los dispositivos que ejecutan el software Cisco IOS o el software Cisco IOS XE son vulnerables si ISAKMP está habilitado. Un dispositivo configurado con IKEv1 o IKEv2 es vulnerable porque cualquiera de las dos configuraciones procesará el paquete con formato incorrecto.
Muchas funciones usan IKE, incluidos diferentes tipos de VPN, como las siguientes:
LAN-to-LAN VPN
Remote-access VPN, excluding SSL VPN
Dynamic Multipoint VPN (DMVPN)
FlexVPN
Group Encrypted Transport VPN (GET VPN)
Determinar si IKE está habilitado
Para determinar si un dispositivo está configurado para IKE, los administradores pueden usar el comando show ip sockets o show udp EXEC en la CLI. Si el puerto UDP 500, el puerto UDP 848, el puerto UDP 4500 o el puerto UDP 4848 están abiertos en un dispositivo, el dispositivo está procesando paquetes IKE.
El siguiente ejemplo muestra el resultado del comando show udp en un dispositivo que está procesando paquetes IKE en el puerto UDP 500 y el puerto UDP 4500, utilizando IP versión 4 (IPv4) o IP versión 6 (IPv6):
Indicadores de compromiso
Una explotación exitosa de esta vulnerabilidad hará que un dispositivo afectado se vuelva a cargar y genere un archivo de información de bloqueo. Comuníquese con el Centro de asistencia técnica (TAC) de Cisco para revisar el archivo de información de bloqueo y determinar si el dispositivo se vio comprometido por la explotación de esta vulnerabilidad.
Una explotación exitosa de esta vulnerabilidad puede confirmarse decodificando el seguimiento de la pila para el dispositivo y determinando si el seguimiento de la pila se correlaciona con esta vulnerabilidad
Cisco ha lanzado actualizaciones de software gratuitas que abordan la vulnerabilidad descrita en este aviso. Los clientes solo pueden instalar y esperar soporte para versiones de software y conjuntos de funciones para los que hayan comprado una licencia. Al instalar, descargar, acceder o utilizar dichas actualizaciones de software, los clientes aceptan seguir los términos de la licencia de software de Cisco:
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html
Además, los clientes solo pueden descargar software para el que tengan una licencia válida, obtenida directamente de Cisco o a través de un distribuidor o socio autorizado de Cisco. En la mayoría de los casos, será una actualización de mantenimiento del software que se compró anteriormente. Las actualizaciones de software de seguridad gratuitas no dan derecho a los clientes a una nueva licencia de software, conjuntos de funciones de software adicionales o actualizaciones de revisión importantes.
Al considerar las actualizaciones de software, se recomienda a los clientes que consulten periódicamente los avisos para los productos de Cisco, que están disponibles en la página Avisos y alertas de seguridad de Cisco, para determinar la exposición y una solución de actualización completa.
En todos los casos, los clientes deben asegurarse de que los dispositivos que se van a actualizar contengan suficiente memoria y confirmar que las configuraciones actuales de hardware y software seguirán siendo compatibles con la nueva versión. Si la información no es clara, se recomienda a los clientes que se comuniquen con el Centro de asistencia técnica (TAC) de Cisco o con sus proveedores de mantenimiento contratados.
Este aviso está disponible completo en este enlace
Noticia Relacionada
Advertencia ZeroDay Explotado Activamente en Iphone 15
