Vulnerabilidades em ativos de rede CISCO [CTIR]

1. Foram identificadas falhas de segurança em implementações de controles de encapsulamento Ethernet. Switches e roteadores que permitem o empilhamento de cabeçalhos de VLAN e possuam softwares desatualizados podem ser alvos de ações maliciosas como negação de serviço e ataques do tipo “man-in-the-middle“.

2. Alguns fabricantes divulgaram boletins de segurança com detalhamento técnico a respeito das vulnerabilidades, relação de produtos afetados e medidas de mitigação:

https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-VU855201-J3z8CKTX.html

https://www.arista.com/en/support/advisories-notices/security-advisory/16276-security-advisory-0080

3. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que identifiquem ativos vulneráveis sob sua responsabilidade e apliquem com urgência as correções e medidas de mitigação, conforme orientações dos fabricantes.

4. Informações técnicas adicionais podem ser consultadas em:

https://www.cisco.com/c/en/us/td/docs/ios/ios_xe/lanswitch/configuration/guide/qinq_xe.html

https://nvd.nist.gov/vuln/detail/CVE-2021-27853

https://nvd.nist.gov/vuln/detail/CVE-2021-27854

https://nvd.nist.gov/vuln/detail/CVE-2021-27861

https://nvd.nist.gov/vuln/detail/CVE-2021-27862

5. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais que orientem a constituency de seus respectivos setores sobre o tratado nesta Recomendação. Reforça também que a participação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional na Rede Federal de Gestão de Incidentes Cibernéticos é obrigatória. Desta forma, o processo de formalização da adesão deverá ser operacionalizado em linha com tal normativo e com as orientações constantes da página eletrônica do CTIR Gov (https://www.gov.br/ctir/pt-br/assuntos/perguntas-frequentes-decreto-10-748-2021/perguntas-frequentes-sobre-o-decreto-10-748-2021).