Kaspersky Lab informó sobre un ciberataque masivo que parece haber explotado instancias mal configuradas de Cisco IOS que ejecuta Cisco Smart Install Client.
Esta vulnerabilidad permitió a los atacantes actualizar la imagen de Cisco IOS en los switches o modificar el archivo de configuración para publicar el mensaje: ‘No te metas con nuestras elecciones’. A raíz de esto, el switch dejó de estar disponible.
La capacidad de explotar switches se debe al hecho de que el puerto TCP 4786, que es utilizado por Smart Install Client, permaneció abierto y fue accesible para los atacantes.
La propia naturaleza del protocolo de instalación inteligente es proporcionar acceso no autenticado a la configuración del switch con privilegios de lectura/escritura.
Se considera una mejor práctica limitar el acceso a esta función con ACL, o incluso, desactivarlo por completo en el switch.
¿Qué debe hacer una organización para protegerse?
Vale la pena señalar que Cisco Systems publicó el 28 de marzo de 2018 un aviso sobre una nueva vulnerabilidad en Smart Install Client, marcado como CVE-2018-0171, que puede causar denegación de servicio o ejecución remota de código en el switch.
Si bien es más difícil de explotar que el ‘uso indebido del protocolo’ antes mencionado, es muy importante aplicar los parches proporcionados por el proveedor.
Es fundamental limitar el acceso al puerto TCP 4786 a través de las listas de control de acceso o desactivar la instalación inteligente de Cisco.
Además, Kaspersky recomienda instalar los parches para CVE-2018-0171 que el proveedor puso a su disposición. Restaurar desde una configuración de respaldo ayudará a que el interruptor vuelva a estar operativo.
Artem Kondratenko, Penetration Tester de Kaspersky Lab, hace las siguientes recomendaciones:
En primer lugar, siempre instale los parches lo antes posible y, en segundo, verifique los protocolos predeterminados que vienen con un dispositivo: es posible que deba ajustarlos.
En esta instancia en particular, debe hacer ambas cosas para proteger su red.
Entonces, si bien, es crucial aplicar un parche para la vulnerabilidad de instalación inteligente, esto por sí solo no evitará dicho ataque debido a la naturaleza misma del protocolo de instalación inteligente: que es proporcionar acceso de lectura/escritura a la configuración del conmutador sin ninguna autenticación.
La solución aquí es deshabilitar la función de instalación inteligente o limitar el acceso a ella a través de las listas de control de acceso.
Para más información visite el blog de Kaspersky Lab.