20 mar. 2017

0-Day para más de 300 modelos de Switch Cisco IOS/IOS XE (Desactiva Telnet!)

Cisco ha publicado una alerta sobre una nueva vulnerabilidad 0-Day crítica en IOS/IOS XE que afecta a más de 300 de modelos de . La empresa identificó la vulnerabilidad en sus productos mientras analizaba "Vault7", los documentos y archivos filtrados por Wikileaks la semana pasada, sobre las herramientas de hacking y tácticas de la CIA.
La vulnerabilidad reside en el código de procesamiento de Cluster Management Protocol (CMP) en Cisco IOS y Cisco IOS XE. La falla identificada como CVE-2017-3881 podría permitir a un atacante remoto no autenticado causar un reinicio del dispositivo afectado o ejecutar código con privilegios elevados y de forma remota en el dispositivo, para tomar el control total del dispositivo.

El protocolo CMP se ha diseñado para transmitir información acerca de de los miembros de un clúster, utilizando Telnet o SSH. La vulnerabilidad se encuentra en la configuración predeterminada de los dispositivos Cisco afectados, incluso si el usuario no configura ningún comando de configuración del clúster. La falla puede ser explotada durante la negociación de la sesión Telnet sobre IPv4 o IPv6.

Según los investigadores de Cisco, este error se produce en las conexiones Telnet dentro de CMP, debido a dos factores:
  • El protocolo no restringe el uso de las opciones de Telnet específicas de CMP sólo a las comunicaciones locales internas entre los miembros del clúster. En su lugar, acepta y procesa los comandos sobre cualquier conexión Telnet a un dispositivo afectado.
  • El procesamiento incorrecto de las opciones malformadas de Telnet específicas de CMP.
Por lo tanto, para explotar esta vulnerabilidad, "un atacante puede enviar comando Telnet malformados específicos de CMP, mientras establece una sesión Telnet con un dispositivo Cisco afectado y configurado para aceptar conexiones Telnet", dicen los investigadores. "Esta explotación podría permitir al atacante ejecutar de forma remota código malicioso y obtener el control total del dispositivo afectado o provocar un reinicio del dispositivo afectado".

el parche aún no está disponible... Deshabilita Telnet en los modelos vulnerables

La vulnerabilidad afecta a 264 switches Catalyst, 51 switches Ethernet industriales y otros muchos modelos. Aquí se puede ver lista completa.

Actualmente, esta vulnerabilidad no tiene parche disponible y por eso Cisco recomienda a sus usuarios deshabilitar la conexión Telnet y habilitar SSH. En el caso de modelos antiguos que no soportan SSH, se debe utilizar Out-of-Band Management (OOB).

La compañía (aún) no ha identificado una explotación activa de la vulneabilidad, pero hay decenas o cientos de miles de dispositivos instalados alrededor del mundo y parecen haber estado en gran riesgo por un período desconocido de tiempo.

Cisco actualizará su herramienta inmediatamente después de que los parches sean publicados.

Fuente: The Hacker News

1 comentario:

  1. Deshabilita Telnet?????,Por que no mejor utiliza ACLs or Out-of-Band Management. Los switches antiguos no soportan SSH.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!