Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad en NX-OS de Cisco

Vulnerabilidad en NX-OS de Cisco

Fecha de publicación: 
19/02/2012
Importancia: 
4 - Alta
Recursos afectados: 

Los switches de la familia Nexus 1000v, 5000, y 7000 que estén ejecutando las versiones afectadas de Cisco NX-OS serían vulnerables a este fallo de seguridad.

Descripción: 
Cisco ha publicado un aviso de seguridad para solucionar una vulnerabilidad en su sistema operativo NX-OS que podría ser aprovechada para causar una denegación de servicio en determinados switches.
Solución: 

Cisco ha publicado actualizaciones de software gratuitas para tratar la vulnerabilidad descrita en el aviso.

Los clientes podrán obtener el software actualizado a través de sus canales regulares de actualización.

Detalle: 

Los switches que utilicen una versión NX-OS vulnerable podrían verse afectados por un DoS (denegación de servicio) cuando el IP stack procese un paquete malformado y obtenga la información capa 4 TCP o UDP del mismo (produciéndose el reinicio del dispositivo)

La vulnerabilidad, (CVE-2012-0352) reside, por tanto, en el stack IP del sistema operativo, por lo que cualquier característica que haga uso de los servicios que se ofrecen en el mismo para procesar paquetes IP, se vería afectada. De acuerdo al aviso de seguridad publicado por Cisco, los siguientes escenarios podrían lanzar la vulnerabilidad:

  • Un paquete malformado, que en condiciones normales se transmitirá por el switch, es recibido y el tiempo de vida (TTL) del mismo es 1. En este caso, un mensaje de error ICMP (tiempo excedido), sería generado. Durante la generación de este mensaje ICMP, el bug podría ser activado.
  • Si el enrutamiento basado en políticas (Policy-based routing) está en uso, y para tomar una decisión de enrutamiento, un paquete entrante debe ser analizado. Si el paquete es un segmento TCP malformado y la política de enrutamiento utiliza la información TCP para tomar decisiones de enrutamiento, el bug podría ser activado.
  • Una lista de control de acceso de salida (egress Access Control List) es aplicada a una interfaz y un paquete IP malformado que necesita ser transmitido a través de dicha interfaz es recibido.