Cisco advierte de una vulnerabilidad crítica revelada en 'Vault 7'

Cisco advierte de una vulnerabilidad crítica revelada en 'Vault 7'

Cisco Systems advirtió a los clientes el viernes de una vulnerabilidad crítica que podría permitir a un atacante ejecutar código arbitrario y obtener control total sobre más de 300 modelos diferentes de sus conmutadores y enrutadores. Cisco dijo que se dio cuenta de la vulnerabilidad después de que WikiLeaks lanzó su caché de documentos de Vault 7 que reveló la existencia de herramientas encubiertas supuestamente utilizadas por la Agencia Central de Inteligencia de Estados Unidos.

Que dijo Cisco al respecto?

Cisco dijo que actualmente no hay ningún parche o solución para la vulnerabilidad que afecta al software que ejecuta su código de procesamiento CMP (Cisco Cluster Management Protocol) que se ejecuta en el software Cisco IOS y Cisco IOS XE de la compañía.

“Esta vulnerabilidad se encontró durante el análisis de documentos relacionados con la divulgación de Vault 7”, escribió Cisco en su boletín de seguridad. Dijo que no estaba al tanto de “anuncios públicos o uso malicioso de la vulnerabilidad”.

A principios de este mes, WikiLeaks publicó más de 8.000 documentos conocidos como la fuga “Vault 7” que describen métodos secretos supuestamente utilizados por el Centro de Ciberespacio de la CIA para penetrar desde teléfonos celulares y televisores hasta hardware de la empresa. Según WikiLeaks el lanzamiento de los documentos es el primero de varios. Los documentos describieron muchas presuntas vulnerabilidades, pero WikiLeaks no publicó ninguna de las herramientas o hazañas asociadas con las revelaciones.

El fallo de Cisco (CVE-2017-3881) afecta a más de 300 productos de Cisco, incluyendo su hardware Cisco Catalyst Blade Switch utilizado en equipos Dell, IBM y HP Enterprise.

Según Cisco, la vulnerabilidad está ligada a dos factores relacionados con la forma en que CMP utiliza Telnet internamente como un protocolo de señalización y comando entre los miembros del clúster. Cisco dijo que la primera se refiere a una vulnerabilidad en el código de procesamiento Cisco CMP en Cisco IOS y Cisco IOS XE Software que podría permitir a un atacante remoto no autenticado “provocar una recarga de un dispositivo afectado o ejecutar código remotamente con privilegios elevados”.

El segundo, según Cisco, está ligado al procesamiento incorrecto de las opciones Telnet específicas de CMP malformadas.

“En términos de mitigaciones a considerar, la deshabilitación del protocolo Telnet como un protocolo permitido para las conexiones entrantes eliminaría el vector de exploit. Cisco recomienda la inhabilitación de Telnet y el uso de SSH “, escribió Omar Santos, ingeniero principal, con Cisco Product Security Incident Response Team, en un blog. “Los clientes que no pueden o no quieren desactivar el protocolo Telnet pueden reducir la superficie de ataque implementando listas de control de acceso a la infraestructura”.

Cisco señala que la falla afecta la configuración predeterminada de los conmutadores afectados. Se dijo que el hardware que ejecuta Cisco IOS XE es vulnerable cuando “el subsistema CMP está presente en la imagen del software Cisco IOS XE que se ejecuta en el dispositivo y el dispositivo está configurado para aceptar las conexiones Telnet entrantes”.

Santos dijo que el alcance de los esfuerzos de mitigación de Cisco fue limitado debido al hecho de que ninguna de las herramientas de Vault 7 y malware referenciados por WikiLeaks han sido revelados. “Una investigación en curso y un análisis centrado de las áreas del código que se aluden en la divulgación está en curso. Hasta que se disponga de más información, Cisco no puede hacer nada en este momento desde una perspectiva de manejo de vulnerabilidades “, escribió.

Por su parte, Julian Assange, de WikiLeaks, se ha ofrecido a ofrecer a los vendedores detalles sobre las vulnerabilidades en una fecha posterior.

“Telnet se desarrolló por primera vez en 1969, mucho antes del nacimiento de Internet, por lo que es fácil ver por qué todavía tendría muchas vulnerabilidades desconocidas”, dijo Phil Neray, vicepresidente de ciberseguridad industrial de CyberX. “Dado que los ciberatestadores pueden escanear fácilmente los servidores de Cisco expuestos mediante herramientas de código abierto, podíamos ver (los adversarios) explotando esta vulnerabilidad recientemente descubierta, ya sea para crear botnets de DDoS masivos o para espiar en el tráfico después de obtener el control total del enrutador”.

Neray dijo que esta vulnerabilidad más reciente debería servir como una llamada de atención para que la industria elimine completamente Telnet y encuentre formas más modernas de administrar remotamente sus dispositivos.

De acuerdo con el análisis de la vulnerabilidad de Cisco, basado en documentos de WikiLeak, el malware que apunta a su hardware exhibe una gama de capacidades que incluyen: “recolección de datos, exfiltración de datos, ejecución de comandos con privilegios administrativos (y sin registro de dichos comandos jamás ejecutados) , Redirección de tráfico HTML, manipulación y modificación (inserción de código HTML en páginas web), envenenamiento por DNS, tunelización encubierta y otros “.

Ese análisis también concluyó que los autores de malware se han esforzado mucho para permanecer ocultos después de la infección a partir del análisis forense. “También parecería que el autor del malware gasta una cantidad significativa de recursos en las pruebas de aseguramiento de la calidad, para que, al parecer, se asegure de que una vez instalado el malware no causará que el dispositivo se bloquee o se comporte mal”, escribió Santos.

Read more