CIBERPLANETA_
🟡 SEVERIDAD MEDIA 18 Jun 2026 02:07

Alerta de Seguridad: Arista EOS Incomplete Comparison with Missing Factors - Reenvío Anómalo de Tráfico Tunelizado (CVE-2026-7473)

cve arista extensible-operating-system eos cwe-1023 tunnel-bypass network-security kev cisa ioc traffic-injection
Alerta de Seguridad: Arista EOS Incomplete Comparison with Missing Factors - Reenvío Anómalo de Tráfico Tunelizado (CVE-2026-7473)

// resumen_ejecutivo

Vulnerabilidad en Arista EOS permite desencapsulación y reenvío indebido de paquetes tunelizados inesperados que coincidan con la IP de decapsulación configurada. Incluida en catálogo KEV de CISA.

// descripcion_detallada

Contexto técnico: Arista Extensible Operating System (EOS) es el sistema operativo de red utilizado en switches y routers de Arista Networks, ampliamente desplegado en entornos empresariales y de centros de datos críticos. Esta vulnerabilidad, catalogada bajo CWE-1023 (Incomplete Comparison with Missing Factors), reside en el mecanismo de decapsulación de tráfico tunelizado del sistema operativo.

Mecanismo de explotación: El fallo se produce cuando el switch Arista EOS evalúa de forma incompleta los factores necesarios para determinar si un paquete tunelizado entrante es legítimo. Concretamente, el dispositivo compara únicamente la dirección IP de destino del paquete externo contra su propia IP de decapsulación configurada, sin verificar correctamente otros atributos o factores del túnel (como el tipo de encapsulación, la fuente autorizada o parámetros adicionales del protocolo de tunelización). Como resultado, paquetes tunelizados inesperados o maliciosos que porten una IP de destino coincidente son incorrectamente desencapsulados y reenviados hacia la red interna, eludiendo los controles de validación previstos.

Impacto potencial: Un atacante con capacidad para enviar tráfico tunelizado hacia la IP de decapsulación del switch podría: (1) inyectar paquetes arbitrarios en segmentos de red internos que de otro modo estarían aislados, eludiendo controles de segmentación y políticas de acceso; (2) provocar condiciones de reenvío anómalo que faciliten el reconocimiento de topologías internas o el movimiento lateral; (3) potencialmente eludir listas de control de acceso (ACLs) aplicadas sobre tráfico tunelizado legítimo. El impacto se clasifica principalmente como desvío de tráfico no autorizado (traffic bypass) y posible evasión de controles de red, con riesgo elevado en infraestructuras que dependan del aislamiento de túneles para la segmentación de redes críticas. La vulnerabilidad ha sido añadida al catálogo KEV de CISA, lo que indica evidencia de explotación activa en entornos reales.

Estado de explotación: CISA ha incluido este CVE en su Known Exploited Vulnerabilities (KEV) Catalog con fecha límite de remediación para agencias FCEB el 23 de junio de 2026. El uso en campañas de ransomware es actualmente desconocido (Unknown). La puntuación CVSS aún no está disponible en NVD en el momento de publicación de este boletín.

// vectores_de_ataque

Vector de red (Network-based). Un atacante remoto, sin autenticación previa, puede enviar paquetes tunelizados malformados o inesperados cuya IP de destino coincida con la IP de decapsulación configurada en el switch Arista EOS. El dispositivo, al realizar una comparación incompleta de los factores del túnel, desencapsula y reenvía dichos paquetes hacia la red interna. El tipo de impacto principal es Traffic Injection / Network Bypass (no RCE directo), con posibilidad de movimiento lateral y evasión de segmentación de red. No se requiere interacción del usuario ni privilegios previos en el dispositivo.

// indicadores_de_compromiso 1 tipo

CVEs (1)
CVE-2026-7473

// recomendaciones_de_mitigacion

  • Aplicar parches del fabricante de forma inmediata: Consultar el Advisory de Seguridad oficial de Arista Networks (Security Advisory 0137) disponible en https://www.arista.com/en/support/advisories-notices/security-advisory/24005-security-advisory-0137 para identificar las versiones de EOS afectadas y las versiones corregidas específicas. Actualizar a la versión de EOS indicada por Arista como remediada.
  • Fecha límite FCEB (BOD 22-01): Las agencias del gobierno federal de EE.UU. deben completar la remediación antes del 23 de junio de 2026, conforme a la Directiva Operacional Vinculante 22-01 de CISA.
  • Mitigaciones temporales mientras se aplica el parche: Implementar ACLs estrictas en las interfaces de decapsulación para restringir las fuentes autorizadas de tráfico tunelizado. Limitar el acceso a las IPs de decapsulación configuradas únicamente a orígenes conocidos y validados mediante listas blancas de IPs. Activar el registro y monitorización de tráfico tunelizado anómalo.
  • Segmentación adicional: Revisar y reforzar la segmentación de red en los segmentos servidos por los switches afectados. Asegurar que los túneles no representen vías de acceso lateral a zonas críticas.
  • Inventario de dispositivos afectados: Identificar todos los switches Arista EOS en el entorno con funcionalidad de decapsulación de túneles habilitada y priorizarlos para la actualización.
  • Monitorización activa: Implementar reglas de detección en SIEM/IDS para identificar intentos de envío de paquetes tunelizados inesperados hacia IPs de decapsulación de los dispositivos Arista.
  • Discontinuar uso si no hay mitigación disponible: Si el parche o las mitigaciones no pueden aplicarse, CISA recomienda considerar la retirada del producto del entorno productivo, conforme a la acción requerida del KEV.

// referencias_externas

[INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·