Cisco ha emitido un aviso de seguridad (cisco-sa-catc-file-read-wLH2vf8X) advirtiendo sobre una vulnerabilidad de alta gravedad en su plataforma Catalyst Center (anteriormente Cisco DNA Center). Este fallo permite a atacantes remotos no autenticados leer archivos arbitrarios en el sistema afectado debido a una validación de entrada inadecuada en la interfaz web.
Veredicto Analítico
- Estado: Confirmado. Parches de seguridad oficiales disponibles. Sin evidencia de explotación activa ni pruebas de concepto (PoC) públicas al momento de la divulgación.
- Confianza: Absoluta. Validado por el aviso del Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT). La vulnerabilidad fue descubierta internamente a través de un caso de soporte técnico (TAC).
- Riesgo para SOC, TDIR y Redes: Alto. Aunque la vulnerabilidad no permite modificar datos ni causar Denegación de Servicio (DoS), el impacto a la confidencialidad es crítico. La lectura de archivos de configuración o credenciales puede facilitar movimientos laterales y la escalada de privilegios dentro de la red corporativa.
- Urgencia Operativa: Alta. Dado que no existen soluciones alternativas (workarounds) para mitigar el problema y se trata de un vector de ataque de baja complejidad sin requerir autenticación, la aplicación de la actualización es mandatoria.
- Base del Veredicto: Existencia de una deficiencia de recorrido de rutas (Path Traversal – CWE-22) en la interfaz de gestión que permite extraer archivos desde un entorno de contenedor restringido mediante la simple manipulación de solicitudes HTTP.
Hallazgos Clave
- Vulnerabilidades Identificadas (Severidad: Alta): Lectura de archivos arbitrarios por recorrido de rutas, identificada como CVE-2026-20191 (Puntuación CVSS: 7.5).
- Plataformas Afectadas: Aplica tanto a dispositivos de hardware físicos como a implementaciones virtuales (AWS, Microsoft Azure y VMware ESXi) de Cisco Catalyst Center, independientemente de su configuración.
- Versiones Vulnerables y Parches: El fallo fue corregido en Catalyst Center 3.1.6 GSMU200 y VMware ESXi 2.3.7.11-VA GSMU100 (para la rama 2.3.7). Las versiones anteriores a la 3.1 no se ven afectadas.
Análisis Técnico: Mecanismo de Explotación
El mecanismo de ataque para esta vulnerabilidad sigue un patrón directo a nivel de capa de aplicación:
- Reconocimiento y Envío: Un atacante remoto localiza una instancia de Cisco Catalyst Center con su interfaz de gestión accesible (especialmente si está expuesta incorrectamente a Internet). Sin necesidad de credenciales previas, envía una solicitud HTTP especialmente diseñada a dicha interfaz.
- Fallo en la Validación: Debido a una insuficiente sanitización de los datos ingresados por el usuario, el motor de la interfaz web del Catalyst Center procesa caracteres de recorrido de directorios (como secuencias ../ o sus equivalentes codificados).
- Impacto Operativo (Exfiltración de Datos): La solicitud malformada escapa del directorio restringido previsto por la aplicación, permitiendo al atacante visualizar y exfiltrar archivos confidenciales del sistema alojados en el entorno de contenedores del dispositivo.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Acceso Inicial: Explotación de Aplicaciones Expuestas al Público (Exploit Public-Facing Application – T1190).
- Recopilación: Datos de Sistemas Locales (Data from Local System – T1005) mediante la lectura no autorizada de archivos.
- Descubrimiento: Descubrimiento de Información de Sistemas / Redes (System Information Discovery – T1082) derivado de la lectura de archivos de configuración internos.
Recomendaciones Operativas
Para Administración de Redes y TI (Acción Prioritaria)
- Actualización Inmediata: Desplegar con prioridad los parches de software emitidos por Cisco (versiones 3.1.6 GSMU200 o 2.3.7.11-VA GSMU100), ya que es el único método para mitigar el riesgo de explotación.
- Segmentación de Red Restrictiva: Garantizar que las interfaces de gestión del Catalyst Center no estén expuestas bajo ninguna circunstancia a Internet público y que el acceso interno esté protegido por Listas de Control de Acceso (ACLs) estrictas o redes de gestión separadas (Out-of-Band Management).
Para el Centro de Operaciones de Seguridad (SOC)
- Monitoreo y Alertas en WAF/SIEM: Configurar y revisar activamente los registros perimetrales y firewalls de aplicaciones web (WAF) en busca de solicitudes HTTP anómalas o sospechosas dirigidas al Catalyst Center. Se deben buscar intentos de recorrido de rutas en las URL (como ../, ..%2f, %2e%2e%2f).




