Vulnerabilidad Crítica de Lectura de Archivos en Cisco Catalyst Center (CVE-2026-20191)

Cisco ha emitido un aviso de seguridad (cisco-sa-catc-file-read-wLH2vf8X) advirtiendo sobre una vulnerabilidad de alta gravedad en su plataforma Catalyst Center (anteriormente Cisco DNA Center). Este fallo permite a atacantes remotos no autenticados leer archivos arbitrarios en el sistema afectado debido a una validación de entrada inadecuada en la interfaz web.


Veredicto Analítico
  • Estado: Confirmado. Parches de seguridad oficiales disponibles. Sin evidencia de explotación activa ni pruebas de concepto (PoC) públicas al momento de la divulgación.
  • Confianza: Absoluta. Validado por el aviso del Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT). La vulnerabilidad fue descubierta internamente a través de un caso de soporte técnico (TAC).
  • Riesgo para SOC, TDIR y Redes: Alto. Aunque la vulnerabilidad no permite modificar datos ni causar Denegación de Servicio (DoS), el impacto a la confidencialidad es crítico. La lectura de archivos de configuración o credenciales puede facilitar movimientos laterales y la escalada de privilegios dentro de la red corporativa.
  • Urgencia Operativa: Alta. Dado que no existen soluciones alternativas (workarounds) para mitigar el problema y se trata de un vector de ataque de baja complejidad sin requerir autenticación, la aplicación de la actualización es mandatoria.
  • Base del Veredicto: Existencia de una deficiencia de recorrido de rutas (Path Traversal – CWE-22) en la interfaz de gestión que permite extraer archivos desde un entorno de contenedor restringido mediante la simple manipulación de solicitudes HTTP.

Hallazgos Clave
  • Vulnerabilidades Identificadas (Severidad: Alta): Lectura de archivos arbitrarios por recorrido de rutas, identificada como CVE-2026-20191 (Puntuación CVSS: 7.5).
  • Plataformas Afectadas: Aplica tanto a dispositivos de hardware físicos como a implementaciones virtuales (AWS, Microsoft Azure y VMware ESXi) de Cisco Catalyst Center, independientemente de su configuración.
  • Versiones Vulnerables y Parches: El fallo fue corregido en Catalyst Center 3.1.6 GSMU200 y VMware ESXi 2.3.7.11-VA GSMU100 (para la rama 2.3.7). Las versiones anteriores a la 3.1 no se ven afectadas.

Análisis Técnico: Mecanismo de Explotación

El mecanismo de ataque para esta vulnerabilidad sigue un patrón directo a nivel de capa de aplicación:

  • Reconocimiento y Envío: Un atacante remoto localiza una instancia de Cisco Catalyst Center con su interfaz de gestión accesible (especialmente si está expuesta incorrectamente a Internet). Sin necesidad de credenciales previas, envía una solicitud HTTP especialmente diseñada a dicha interfaz.
  • Fallo en la Validación: Debido a una insuficiente sanitización de los datos ingresados por el usuario, el motor de la interfaz web del Catalyst Center procesa caracteres de recorrido de directorios (como secuencias ../ o sus equivalentes codificados).
  • Impacto Operativo (Exfiltración de Datos): La solicitud malformada escapa del directorio restringido previsto por la aplicación, permitiendo al atacante visualizar y exfiltrar archivos confidenciales del sistema alojados en el entorno de contenedores del dispositivo.

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
  • Acceso Inicial: Explotación de Aplicaciones Expuestas al Público (Exploit Public-Facing Application – T1190).
  • Recopilación: Datos de Sistemas Locales (Data from Local System – T1005) mediante la lectura no autorizada de archivos.
  • Descubrimiento: Descubrimiento de Información de Sistemas / Redes (System Information Discovery – T1082) derivado de la lectura de archivos de configuración internos.

Recomendaciones Operativas

Para Administración de Redes y TI (Acción Prioritaria)

  • Actualización Inmediata: Desplegar con prioridad los parches de software emitidos por Cisco (versiones 3.1.6 GSMU200 o 2.3.7.11-VA GSMU100), ya que es el único método para mitigar el riesgo de explotación.
  • Segmentación de Red Restrictiva: Garantizar que las interfaces de gestión del Catalyst Center no estén expuestas bajo ninguna circunstancia a Internet público y que el acceso interno esté protegido por Listas de Control de Acceso (ACLs) estrictas o redes de gestión separadas (Out-of-Band Management).

Para el Centro de Operaciones de Seguridad (SOC)

  • Monitoreo y Alertas en WAF/SIEM: Configurar y revisar activamente los registros perimetrales y firewalls de aplicaciones web (WAF) en busca de solicitudes HTTP anómalas o sospechosas dirigidas al Catalyst Center. Se deben buscar intentos de recorrido de rutas en las URL (como ../, ..%2f, %2e%2e%2f).

Related Post