Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Vulnerabilidad crítica para 300 modelos de dispositivos de Cisco




Cisco ha publicado una alerta sobre una nueva vulnerabilidad 0-Day crítica en IOS/IOS XE que afecta a más de 300 de modelos de . La empresa identificó la vulnerabilidad en sus productos mientras analizaba "Vault7", los documentos y archivos filtrados por Wikileaks la semana pasada, sobre las herramientas de hacking y tácticas de la CIA.



La vulnerabilidad reside en el código de procesamiento de Cluster Management Protocol (CMP) en Cisco IOS y Cisco IOS XE. El fallo identificado como CVE-2017-3881 podría permitir a un atacante remoto no autenticado causar un reinicio del dispositivo afectado o ejecutar código con privilegios elevados y de forma remota en el dispositivo, para tomar el control total del dispositivo.

El protocolo CMP se ha diseñado para transmitir información acerca de de los miembros de un clúster, utilizando Telnet o SSH. La vulnerabilidad se encuentra en la configuración predeterminada de los dispositivos Cisco afectados, incluso si el usuario no configura ningún comando de configuración del clúster. La falla puede ser explotada durante la negociación de la sesión Telnet sobre IPv4 o IPv6.

Deshabilita Telnet en los modelos vulnerables

Modelos afectados: 

 
Más de 300 modelos de switches y otros dispositivos CISCO, utilizados en entornos empresariales, con sistema operativo Cisco IOS y Cisco IOS –XE, que tengan el subsistema CMP (Cluster Management Protocol) y estén configurados para aceptar conexiones Telnet entrantes (consultar lista completa en el anuncio de Cisco: Cisco sa-20170317-cmp).

  • Cisco Catalyst 3750
  • Cisco Catalyst 4000/4500 
  • Cisco Catalyst 4500 Series 
  • Cisco Catalyst 4928 
  • Cisco IE 2000
  • Cisco IE-4000     



Descripción: 
 
CISCO ha hecho pública la existencia de una vulnerabilidad crítica, del tipo zero-day (aún sin parchear) que afecta a los dispositivos indicados en el apartado Recursos Afectados, descubierta tras el análisis de los documentos desvelados por Wikileaks, conocido como Vault 7.

Esta vulnerabilidad permitiría que atacantes pudieran conectarse de forma remota a los dispositivos afectados sin necesidad de tener contraseñas para autenticarse, pudiendo reiniciar el dispositivo, controlarlo completamente o ejecutar código de forma remota.

Router> show version

Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(2)T1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Mon 22-Jun-15 09:32 by prod_rel_team
.
.
.

Solución: 

 
Para los modelos listados en el apartado de Recursos Afectados Cisco recomienda deshabilitar las conexiones Telnet y estar atentos a la publicación del parche.

Si tiene uno de estos dispositivos en su empresa, avise a su servicio técnico para que siga los pasos recomendados por Cisco para:
  • comprobar la existencia del subsistema CMP (sólo en S.O. Cisco IOS XE);

Switch#show subsys class protocol | include ^cmp
cmp                                Protocol    1.000.001     
Switch

  • verificar si su configuración admite conexiones externas vía Telnet (activadas por defecto) y desactivarlas;
Switch#show running-config | include ^line vty|transport input
line vty 0 4
line vty 5 15
Switch#  
  • si no desea o no puede desactivar las conexiones Telnet, Cisco propone utilizar iACL (listas de control de acceso de infraestructuras).
Detalle: 
 
Los equipos afectados son utilizados en el entorno empresarial, incluyendo entre otros 264 switches Catalyst y 51 switches industriales.

El fallo de seguridad afecta al protocolo de gestión de clústeres CMP (Cluster Management Protocol) presente en los sistemas operativos Cisco IOS y Cisco IOS XE. Un clúster  es un conjunto de ordenadores en una red de alta velocidad utilizados para una misma tarea común.

La configuración por defecto de estos dispositivos Cisco habilitan el uso de Telnet para CMP, aunque el usuario no configure ningún clúster. La vulnerabilidad puede ser explotada fácilmente durante el establecimiento de la sesión Telnet.



Los servicios de Telnet o SSH, sirven para la gestión remota de los dispositivos conectados a una red. El protocolo SSH no está afectado por esta vulnerabilidad.

De acuerdo con los investigadores de Cisco la vulnerabilidad ocurre por la combinación de dos factores:
  • el protocolo CMP admite mensajes vía Telnet de cualquier origen;
  • se procesa de forma incorrecta el establecimiento de sesión a través de Telnet.
Fuentes:
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-critica-dispositivos-cisco
http://blog.segu-info.com.ar/2017/03/0-day-para-mas-300-modelos-de-switch.html

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.