Cisco corrige varias vulnerabilidades en sus dispositivos

Importancia : Crítica

Descripción: 

El Departamento de Ciberseguridad de la DIGETIC / FFAA, informa sobre la corrección de varias vulnerabilidades que afectan a dispositivos de Cisco.

Cisco ha publicado dos vulnerabilidades de severidad crítica y dos vulnerabilidades de severidad alta, que afectan a múltiples productos.

Advierte que cada ente debe asegurarse de que los dispositivos que se van a actualizar contienen suficiente memoria y confirmar que las configuraciones actuales de hardware y software seguirán siendo compatibles con la nueva versión. Ante cualquier duda, se aconseja a los clientes que se pongan en contacto con el Centro de Asistencia Técnica (TAC) de Cisco o con sus proveedores de mantenimiento contratados.

Recursos afectados: 
  • Cisco Policy Suite en versiones 21.1.0, 20.2.0 y anteriores;
  • Conmutador catalizador PON CGP-ONT-1P;
  • Conmutador catalizador PON CGP-ONT-4P;
  • Conmutador catalizador PON CGP-ONT-4PV;
  • Conmutador Catalyst PON CGP-ONT-4PVC;
  • Conmutador catalizador PON CGP-ONT-4TVCW;
  • Interruptores Inteligentes Serie 250, versión 2.5 y anteriores;
  • Switches administrados serie 350, versión 2.5 y anteriores;
  • Switches administrados apilables serie 350X, versión 2.5 y anteriores;
  • Switches administrados apilables serie 550X, versión 2.5 y anteriores;
  • Smart Switches Business 250 Series, versión 3.1 y anteriores;
  • Switches administrados Business 350 Series, versión 3.1 y anteriores;
  • Switches avanzados de la serie ESW2, versión 2.5 y anteriores;
  • Interruptores inteligentes de la serie 200 para pequeñas empresas;
  • Switches administrados de la serie 300 para pequeñas empresas;
  • Switches administrados apilables de la serie 500 para pequeñas empresas;
  • Email Security Appliance, versiones 13.7, 13.5, 13.0 y anteriores.
 
Detalle: 

El producto afectado presenta una vulnerabilidad de autenticación inadecuada en su componente Grafana server que podría permitir a un atacante, autenticado o no, acceder a copias del sistema (snapshot) e incluso eliminarlas. Se ha asignado el identificador CVE-2021-39226 para esta vulnerabilidad.

Mitigación: 

Aplicar las actulizaciones de seguirdad lanzada lo mas pronto posible en los productos afectados

  • Cisco Policy Suite:
    • En versiones anteriores a la 20.2.0 actualizar a la versión 21.1.0;
    • Para la versión 20.2.0 ponerse en contacto con TAC para instalar el parche de seguridad;
    • Para la versión 21.1.0 cambiar las claves SSH predeterminadas en versiones 21.1.0, 20.2.0 y anteriores.
  • Actualizar el software para los siguientes productos:
    • Catalyst PON Switch CGP-ONT-1P;
    • Catalyst PON Switch CGP-ONT-4P;
    • Catalyst PON Switch CGP-ONT-4PV;
    • Catalyst PON Switch CGP-ONT-4PVC;
    • Catalyst PON Switch CGP-ONT-4TVCW.
  • Actualizar a la versión 2.5.8.12 los siguientes productos:
    • 250 Series Smart Switches;
    • 350 Series Managed Switches;
    • 350X Series Stackable Managed Switches;
    • 550X Series Stackable Managed Switches;
    • ESW2 Series Advanced Switches.
  • Actualizar a la versión 3.1.1.7 los siguientes productos:
    • Business 250 Series Smart Switches;
    • Business 350 Series Managed Switches.
  • Los siguientes productos se encuentran en el final de su vida útil y Cisco no ha publicado ni publicará parches que corrijan estas vulnerabilidades:
    • Small Business 200 Series Smart Switches;
    • Small Business 300 Series Managed Switches;
    • Small Business 500 Series Stackable Managed Switches.
  • Email Security Appliance (ESA):
    • Para la versión 13.0 y anteriores actualizar a la versión 13.0.4;
    • Para la versión 13.5 actualizar a la versión 13.5.4-031;
    • Para la versión 13.7 actualizar a la versión 14.0.0;
 

FUENTE:

COMPARTE LA ALERTA !!!

Share on facebook
Facebook
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email