Se han detectado varias vulnerabilidades, una de ellas
crítica, en productos Cisco con software IOS o IOS XE, catalogadas de Importancia:
5 - Crítica
Recursos afectados:
- Mútiples productos, principalmente switches de la
series Catalyst e IE (Industrial Ethernet) que acepten conexiones
entrantes Telnet. Se puede encontrar un listado completo de los productos
afectados aquí.
- Dispositivos que ejecuten Cisco IOS o Cisco IOS XE y
que soporten ANI (Autonomic Networking Infrastructure) cumpliendo además
uno de los dos puntos siguientes:
- El dispositivo debe estar configurado como autonomic
registrar y debe tener una lista blanca configurada.
- ANI puede estar o no configurado y debe tener
configurada una IPv6 alcanzable en una de sus interfaces.
Detalle e imapcto de las vulnerabilidades
detectadas
- Vulnerabilidad crítica: una vulnerabilidad en el
protocolo CMP (Cisco Cluster Management Protocol), que usa Telnet
internamente, podría permitir que un atacante remoto y no autenticado
provocase un reinicio del dispositivo o tomáse el control del mismo
mediante el envío de paquetes Telnet especialmente diseñados que contienen
opciones específicas del protocolo CMP. Se ha reservado el identificador
CVE-2017-3881 para esta vulnerabilidad.
- Vulnerabilidad alta que afecta dispositivos
configurados como autonomic registrar: debido a una validación incompleta
de ciertos paquetes autonomic network channel discovery especialmente
diseñados, un atacante no autenticado, podría causar el reinicio de un
dispositivo afectado. Se ha reservado el identificador CVE-2017-3849 para
esta vulnerabilidad.
- Vulnerabilidad alta que afecta a IPv6: debido a una
validación incompleta de paquetes IPv6 especialmente diseñados, un
atacante remoto y no autenticado podría causar el reinicio de un
dispositivo afectado. Se ha reservado el identificador CVE-2017-3850 para
esta vulnerabilidad.
Recomendación
- Para la vulnerabilidad crítica, actualmente no
existe actualización de software, sin embargo, puede eliminarse el vector
de ataque si se deshabilita el acceso al dispositivo vía Telnet
habilitando SSH en su lugar. Si esto no fuera posible, puede reducirse la
superficie de ataque implementando iACLs.
- Para las vulnerabilidades de criticidad alta existen
actualizaciones de software en el sitio de Cisco. Además para la
vulnerabilidad que afecta a IPv6, si no se desea actualizar el software,
puede aplicarse la solución descrita aquí en el apartado Workaround.
Más información
- Cisco IOS and
IOS XE Software Cluster Management Protocol Remote Code Execution
Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp
- Cisco IOS and
IOS XE Software Autonomic Networking Infrastructure Registrar Denial of
Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170320-ani
- Cisco IOS and
IOS XE Software IPv6 Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170320-aniipv6