Wikileaks: vulnerabilidades en Cisco IOS/XE desclasificadas en Vault7

Tras la filtración masiva ofrecida por Wikileaks, referente al caso Vault7 relacionado con la CIA, expertos de Cisco avisan de vulnerabilidades encontradas en su software de Protocolo de Administración de Cluster (IOS-IOS XE). Este fallo de seguridad ofrece la opción de ejecutar código remoto.

Resistencia de Wikileaks a ofrecer la información completa

Estos últimos días, Wikileaks ha anunciado que «planea» compartir con las firmas de tecnología más grandes del mundo (Microsoft, Google, Apple…) los detalles técnicos sobre las vulnerabilidades descubiertas en este inmenso volcado de datos, que dista de estar completo a día de hoy, debido a ciertas exigencias declaradas por parte de Assange.

Fuentes cercanas a Assange afirman que ha escrito a las principales firmas de TI, para pedirles que se comprometan a respetar algunos principios, antes de que se ponga en sus manos toda la información: técnicas, herramientas, etc.

Se rumorea que se habría pedido, entre otras cosas, un plazo de resolución de 90 días para las vulnerabilidades graves, algo que no han aceptado las marcas, que en casos como el de Cisco han comenzado su análisis de los datos encontrados.

Vulnerabilidades en Cisco IOS e IOS XE

La empresa ha identificado un serio problema de seguridad que afecta a estos componentes, en un total estimado de unos 300 modelos de switches Cisco, quizá más.

La vulnerabilidad en el código que gestiona el protocolo CMP o Cisco Cluster Management Protocol, permitiría explotación de forma remota, por parte de un atacante sin autentificar, que podría ejecutar código con privilegios de alto nivel, además de provocar una recarga del dispositivo afectado.

Es decir, un ciberdelincuente podría tomar el control absoluto de un aparato vulnerable. El «cluster management protocol se asienta sobre el servicio Telnet, a nivel interno, para firmar y procesar comandos entre los miembros del cluster. Explicación detallada de Cisco:

La vulnerabilidad se debe a dos factores combinados:

1. El fallo al restringir el uso de opciones CMP específicas, vía Telnet, solo para comunicaciones internas o locales entre miembros, aceptando en cambio comandos mediante cualquier conexión Telnet hacia un dispositivo afectado, y,
2. El incorrecto procesamiento de opciones específicas, mal formuladas, de CMP vía Telnet.

Un atacante podría desencadenar la vulnerabilidad mediante el envío de opciones CMP con un formato incorrecto, mientras establece la sesión Telnet con el dispositivo Cisco afectado, configurado como hemos dicho para aceptar este medio de transmisión.

 

Medidas de mitigación para protocolo CMP vía Telnet

Lo peor es que este fallo afecta a las configuraciones de fábrica de los switches de Cisco, sin importar si tenemos configurado cluster o no, pudiendo ser explotado mediante IPv4 o IPv6, según reza el análisis de sus expertos.

Dispositivos afectados

• 264 switches Catalyst
• 51 switches industriales Ethernet
• 3 dispositivos Cisco adicionales

La lista completa de dispositivos afectados la encontraréis en el enlace superior.

No existe, por el momento, un parche que solucione este problema sin más, así que el principal consejo que podéis aplicar es el de deshabilitar conexiones Telnet, utilizando en su lugar el clásico SSH.

Además, otro paso interesante es utilizar el Cisco IOS Software Checker, que examinará la versión instalada en vuestro sistema, alertando de forma precisa sobre las vulnerabilidades activas sobre vuestra versión de software.

Indicadores de compromiso

Estas firmas actualizadas podrán detectar intentos de aprovechar estas vulnerabilidades:

• Cisco IPS: firma 7880-0
• Snort: SIDs 41909 y 41910