Descripción: La vulnerabilidad esta asociada con el protocolo para la administración de clusteres (CMP) de Cisco, que funcionan sobre Cisco IOS y Cisco IOS Software XE.   

Esta vulnerabilidad afecta a ciertas gamas de dispositivos Cisco que ejecutan software IOS vulnerable y acepta conexiones de Telnet entrantes.

Al utilizar Telnet como protocolo de señalización y control para la comunicación entre los miembros del cluster, se corre el riesgo de que se conserve la configuración por defecto, y  que el acceso a los dispositivos Cisco no esté restringido para que sólo pueda ser utilizado de forma local y únicamente por los miembros del cluster; lo que permite a un atacante, aprovechar la posibilidad de conectarse por este protocolo desde cualquier ubicación, enviar paquetes CMP malformados y a través de un exploit, ejecutar código malicioso que finalmente le dará control total del dispositivo o recargar el procesamiento del mismo.

CVE: CVE-2017-3881
Publicación: 17 de marzo de 2017
Factor de Riesgo: Crítico
Valor CVSS Base: 10

Validaciones: Los dispositivos que tienen un software Cisco IOS EX vulnerable, son afectados por esta vulnerabilidad cuando se cumplen con las siguientes condiciones:

  • En la imagen de Cisco IOS EX está presente el subsistema CMP
  • El dispositivo está configurado para aceptar conexiones Telnet entrantes

1 Para verificar si el subsistema CMP está presente en la imagen del software, se debe ejecutar el siguiente comando:                                    

Switch#show subsys class protocol | include ^cmp

Si el comando arroja como resultado información de CMP, en este caso se afirma que el subsistema está presente.

2 Para determinar si el dispositivo está aceptando conexiones Telnet se ejecutará el siguiente comando con privilegios altos en el CLI:

Switch#show running-config | include ^line vty|transport input

El resultado arrojará varias líneas dentro de las cuales se encontrará “line vty 0 4”. Se dice que el dispositivo recibe conexiones Telnet entrantes, si después de cada una de las líneas “line vty x y” no aparecen más resultados (lo que significa que acepta todos los protocolos entrantes por defecto) ó muestra los siguientes:

  • transport input all
  • transport input Telnet

3 Determinar la versión del software del dispositivo:

#show version

Solución: Actualizar versión del software de acuerdo con modelo del dispositivo.

Para eliminar el vector de ataque (exploit), el fabricante sugiere que el dispositivo sólo acepte conexiones entrantes por protocolo SSH.

Referencia:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like