Vulnerabilidad crítica para 300 modelos de dispositivos de Cisco
Cisco ha publicado una alerta sobre una nueva vulnerabilidad 0-Day crítica en IOS/IOS XE que afecta a más de 300 de modelos de switch. La empresa identificó la vulnerabilidad en sus productos mientras analizaba "Vault7", los documentos y archivos filtrados por Wikileaks la semana pasada, sobre las herramientas de hacking y tácticas de la CIA.
La vulnerabilidad reside en el código de procesamiento de Cluster Management Protocol (CMP) en Cisco IOS y Cisco IOS XE. El fallo identificado como CVE-2017-3881 podría permitir a un atacante remoto no autenticado causar un reinicio del dispositivo afectado o ejecutar código con privilegios elevados y de forma remota en el dispositivo, para tomar el control total del dispositivo.
El protocolo CMP se ha diseñado para transmitir información acerca de de los miembros de un clúster, utilizando Telnet o SSH. La vulnerabilidad se encuentra en la configuración predeterminada de los dispositivos Cisco afectados, incluso si el usuario no configura ningún comando de configuración del clúster. La falla puede ser explotada durante la negociación de la sesión Telnet sobre IPv4 o IPv6.
La vulnerabilidad reside en el código de procesamiento de Cluster Management Protocol (CMP) en Cisco IOS y Cisco IOS XE. El fallo identificado como CVE-2017-3881 podría permitir a un atacante remoto no autenticado causar un reinicio del dispositivo afectado o ejecutar código con privilegios elevados y de forma remota en el dispositivo, para tomar el control total del dispositivo.
El protocolo CMP se ha diseñado para transmitir información acerca de de los miembros de un clúster, utilizando Telnet o SSH. La vulnerabilidad se encuentra en la configuración predeterminada de los dispositivos Cisco afectados, incluso si el usuario no configura ningún comando de configuración del clúster. La falla puede ser explotada durante la negociación de la sesión Telnet sobre IPv4 o IPv6.
Deshabilita Telnet en los modelos vulnerables
Modelos afectados:
Más de 300 modelos de switches y otros dispositivos CISCO, utilizados en entornos empresariales, con sistema operativo Cisco IOS y Cisco IOS –XE, que tengan el subsistema CMP (Cluster Management Protocol) y estén configurados para aceptar conexiones Telnet entrantes (consultar lista completa en el anuncio de Cisco: Cisco sa-20170317-cmp).
- Cisco Catalyst 3750
- Cisco Catalyst 4000/4500
- Cisco Catalyst 4500 Series
- Cisco Catalyst 4928
- Cisco IE 2000
- Cisco IE-4000
Descripción:
CISCO ha hecho pública la existencia de una vulnerabilidad crítica, del tipo zero-day (aún sin parchear) que afecta a los dispositivos indicados en el apartado Recursos Afectados, descubierta tras el análisis de los documentos desvelados por Wikileaks, conocido como Vault 7.
Esta vulnerabilidad permitiría que atacantes pudieran conectarse de forma remota a los dispositivos afectados sin necesidad de tener contraseñas para autenticarse, pudiendo reiniciar el dispositivo, controlarlo completamente o ejecutar código de forma remota.
Esta vulnerabilidad permitiría que atacantes pudieran conectarse de forma remota a los dispositivos afectados sin necesidad de tener contraseñas para autenticarse, pudiendo reiniciar el dispositivo, controlarlo completamente o ejecutar código de forma remota.
Router> show version
Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(2)T1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Mon 22-Jun-15 09:32 by prod_rel_team
.
.
.
Solución:
Para los modelos listados en el apartado de Recursos Afectados Cisco recomienda deshabilitar las conexiones Telnet y estar atentos a la publicación del parche.
Si tiene uno de estos dispositivos en su empresa, avise a su servicio técnico para que siga los pasos recomendados por Cisco para:
Si tiene uno de estos dispositivos en su empresa, avise a su servicio técnico para que siga los pasos recomendados por Cisco para:
- comprobar la existencia del subsistema CMP (sólo en S.O. Cisco IOS XE);
Switch#show subsys class protocol | include ^cmp
cmp Protocol 1.000.001
Switch
- verificar si su configuración admite conexiones externas vía Telnet (activadas por defecto) y desactivarlas;
Switch#show running-config | include ^line vty|transport input
line vty 0 4
line vty 5 15
Switch#
- si no desea o no puede desactivar las conexiones Telnet, Cisco propone utilizar iACL (listas de control de acceso de infraestructuras).
Detalle:
Los equipos afectados son utilizados en el entorno empresarial, incluyendo entre otros 264 switches Catalyst y 51 switches industriales.
El fallo de seguridad afecta al protocolo de gestión de clústeres CMP (Cluster Management Protocol) presente en los sistemas operativos Cisco IOS y Cisco IOS XE. Un clúster es un conjunto de ordenadores en una red de alta velocidad utilizados para una misma tarea común.
La configuración por defecto de estos dispositivos Cisco habilitan el uso de Telnet para CMP, aunque el usuario no configure ningún clúster. La vulnerabilidad puede ser explotada fácilmente durante el establecimiento de la sesión Telnet.
Los servicios de Telnet o SSH, sirven para la gestión remota de los dispositivos conectados a una red. El protocolo SSH no está afectado por esta vulnerabilidad.
De acuerdo con los investigadores de Cisco la vulnerabilidad ocurre por la combinación de dos factores:
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-critica-dispositivos-cisco
http://blog.segu-info.com.ar/2017/03/0-day-para-mas-300-modelos-de-switch.html
El fallo de seguridad afecta al protocolo de gestión de clústeres CMP (Cluster Management Protocol) presente en los sistemas operativos Cisco IOS y Cisco IOS XE. Un clúster es un conjunto de ordenadores en una red de alta velocidad utilizados para una misma tarea común.
La configuración por defecto de estos dispositivos Cisco habilitan el uso de Telnet para CMP, aunque el usuario no configure ningún clúster. La vulnerabilidad puede ser explotada fácilmente durante el establecimiento de la sesión Telnet.
Los servicios de Telnet o SSH, sirven para la gestión remota de los dispositivos conectados a una red. El protocolo SSH no está afectado por esta vulnerabilidad.
De acuerdo con los investigadores de Cisco la vulnerabilidad ocurre por la combinación de dos factores:
- el protocolo CMP admite mensajes vía Telnet de cualquier origen;
- se procesa de forma incorrecta el establecimiento de sesión a través de Telnet.
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-critica-dispositivos-cisco
http://blog.segu-info.com.ar/2017/03/0-day-para-mas-300-modelos-de-switch.html
Via: blog.elhacker.net
Vulnerabilidad crítica para 300 modelos de dispositivos de Cisco
Reviewed by Zion3R
on
14:06
Rating:
Reviewed by Zion3R
on
14:06
Rating:
