Vulnerabilidad Crítica en dispositivos Cisco

Fecha de publicación: 
21/03/2017
Importancia: 
5 - Crítica
Recursos afectados: 

Más de 300 modelos de switches y otros dispositivos CISCO, utilizados en entornos empresariales, con sistema operativo Cisco IOS y Cisco IOS –XE, que tengan el subsistema CMP (Cluster Management Protocol) y estén configurados para aceptar conexiones Telnet entrantes (consultar lista completa en el anuncio de Cisco: Cisco sa-20170317-cmp).

Descripción: 

CISCO ha hecho pública la existencia de una vulnerabilidad crítica, del tipo zero-day (aún sin parchear) que afecta a los dispositivos indicados en el apartado Recursos Afectados, descubierta tras el análisis de los documentos desvelados por Wikileaks, conocido como Vault 7.

Esta vulnerabilidad permitiría que atacantes pudieran conectarse de forma remota a los dispositivos afectados sin necesidad de tener contraseñas para autenticarse, pudiendo reiniciar el dispositivo, controlarlo completamente o ejecutar código de forma remota.

Solución: 

Para los modelos listados en el apartado de Recursos Afectados Cisco recomienda deshabilitar las conexiones Telnet y estar atentos a la publicación del parche.

Si tiene uno de estos dispositivos en su empresa, avise a su servicio técnico para que siga los pasos recomendados por Cisco para:

  • comprobar la existencia del subsistema CMP (sólo en S.O. Cisco IOS XE);
  • verificar si su configuración admite conexiones externas vía Telnet (activadas por defecto) y desactivarlas;
  • si no desea o no puede desactivar las conexiones Telnet, Cisco propone utilizar iACL (listas de control de acceso de infraestructuras).
Detalle: 

Los equipos afectados son utilizados en el entorno empresarial, incluyendo entre otros 264 switches Catalyst y 51 switches industriales.

El fallo de seguridad afecta al protocolo de gestión de clústeres CMP (Cluster Management Protocol) presente en los sistemas operativos Cisco IOS y Cisco IOS XE. Un clúster  es un conjunto de ordenadores en una red de alta velocidad utilizados para una misma tarea común.

La configuración por defecto de estos dispositivos Cisco habilitan el uso de Telnet para CMP, aunque el usuario no configure ningún clúster. La vulnerabilidad puede ser explotada fácilmente durante el establecimiento de la sesión Telnet. 

Los servicios de Telnet o SSH, sirven para la gestión remota de los dispositivos conectados a una red. El protocolo SSH no está afectado por esta vulnerabilidad.
De acuerdo con los investigadores de Cisco la vulnerabilidad ocurre por la combinación de dos factores:

  • el protocolo CMP admite mensajes vía Telnet de cualquier origen;
  • se procesa de forma incorrecta el establecimiento de sesión a través de Telnet.
Etiquetas: