Los investigadores de seguridad de Embedi han revelado una vulnerabilidad crítica en el software Cisco IOS y el software Cisco IOS XE que podría permitir a un atacante remoto no autenticado ejecutar código arbitrario, tomar el control total de los equipos de red vulnerables e interceptar el tráfico.
La vulnerabilidad de desbordamiento de búfer basada en pila ha recibido el código CVE-2018-0171 y es el resultado de una validación incorrecta de los paquetes de datos del tipo Smart Install Client, que es una función de plug-and-play y gestión de imágenes que ayuda a los administradores para implementar switches de red fácilmente .
Embedi que ha publicado los detalles técnicos y un código de prueba de concepto (PoC) después de que Cisco lanzara hoy actualizaciones para parchar esta vulnerabilidad de ejecución remota de código, a la que se le ha otorgado un puntaje en el Sistema de Puntuación de Vulnerabilidad Común (CVSS) de 9.8 (es decir es una vulnerabilidad de nivel crítico).
Los investigadores encontraron inicialmente un total de 8.5 millones de dispositivos con el puerto vulnerable abierto en Internet, quedando a día de hoy aproximadamente unos 250,000 dispositivos sin parchar abiertos a los ciberdelincuentes.
Para aprovechar esta vulnerabilidad, un atacante debe enviar un mensaje Smart Install especialmente creado a un dispositivo afectado en el puerto TCP 4786, que se abre de manera predeterminada.
La vulnerabilidad también puede dar como resultado una condición de denegación de servicio (bloqueo de vigilancia) activando un ciclo infinito en los dispositivos afectados.
Los investigadores demostraron la vulnerabilidad en una conferencia de seguridad en Hong Kong después de informarlo a Cisco en mayo del 2017. En su primera demostración, como se muestra en el siguiente video, los investigadores se enfocaron en el switch Cisco Catalyst 2960 para restablecer/cambiar la contraseña y en el modo EXEC privilegiado:
En su segunda demostración, los investigadores explotaron la falla para interceptar con éxito el tráfico entre otros dispositivos conectados al switch vulnerable e Internet:
La vulnerabilidad fue probada en Catalyst 4500 Supervisor Engines, Cisco Catalyst 3850 Series Switches y Cisco Catalyst 2960 Series Switches, y todos los dispositivos que pertenecen al Smart Install Client son potencialmente vulnerables, incluyendo:
- Catalyst 4500 Supervisor Engines
- Catalyst 3850 Series
- Catalyst 3750 Series
- Catalyst 3650 Series
- Catalyst 3560 Series
- Catalyst 2960 Series
- Catalyst 2975 Series
- IE 2000
- IE 3000
- IE 3010
- IE 4000
- IE 4010
- IE 5000
- SM-ES2 SKUs
- SM-ES3 SKUs
- NME-16ES-1G-P
- SM-X-ES3 SKUs
Cisco corrigió la vulnerabilidad en todos sus productos afectados el pasado 28 de marzo de 2018 y Embedi publicó un post en su blog que detalla la vulnerabilidad el 29 de marzo. Por lo tanto, se recomienda encarecidamente a los administradores que instalen las actualizaciones de software para resolver el problema lo antes posible.