La ausencia de una autorización o mecanismo de
autenticación en el protocolo Smart Install podría permitir a un atacante
configurar los dispositivos que usan este protocolo para su configuración
inicia, catalogada de Importancia: 4-
Alta
Cisco Smart Install es un componente de la solución Cisco Smart Operations que permite la configuración plug &play para nuevos switches, típicamente swicthes de capa de acceso.
Detalle e Impacto de la vulnerabilidad:
- El problema reside en que la comunicación entre el dispositivo a configurar y el switch o router que hace de Smart Install director no requiere ningún mecanismo de autorización o de autenticación. Este problema permitiría a un atacante suplantar al dispositivo director al inicio de la configuración, pudiendo cargar una configuración maliciosa al dispositivo.
- Cisco IOS
- IOX XE Smart Install
- Cisco ha publicado un protocolo para el uso correcto de Cisco Smart Install https://tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20170214-smi
- Más información
- Cisco IOS and IOX XE Smart Install May Allow Unauthorized Access https://tools.cisco.com/security/center/viewAlert.x?alertId=52773
- Cisco Smart Install Protocol Misuse https://tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20170214-smi
- Cisco PSIRT – Mitigating and Detecting Potential Abuse of Cisco Smart Install Feature http://blogs.cisco.com/security/cisco-psirt-mitigating-and-detecting-potential-abuse-of-cisco-smart-install-feature
- Cisco Coverage for Smart Install Client Protocol Abuse http://blog.talosintelligence.com/2017/02/cisco-coverage-for-smart-install-client.html