Un error de ejecución de código remoto que afectó a los Switches de Cisco que permite a un atacante obtener el control total de las redes implementadas de switch de Cisco vulnerable.
El escaneo de todo el Internet revela que se han presentado 250.000 dispositivos vulnerables y 8,5 millones de dispositivos que tienen un puerto vulnerable abierto.
Investigadores encontraron una vulnerabilidad de desbordamiento de búfer basada en la pila en Cisco Switches Código de Smart Install Client que permite a un atacante ejecutar remotamente código arbitrario sin ninguna autenticación adicional.
Smart Install es un Cisco Switches, un nuevo futuro que proporciona configuración plug-and-play y administración de imágenes.
Este futuro ayuda a enviar un interruptor a una ubicación, colocarlo en la red y encenderlo sin configuración en el dispositivo requerido y sin un administrador y también proporciona una configuración de respaldo.
Además, el Director actúa como un único administrador de punto único para las imágenes y la configuración de los conmutadores del cliente y el cliente establece una conexión directa o indirecta con el director.
Una vulnerabilidad crítica descubierta presentada en el código de Cisco Switches Smart Install Client.
Descripción de vulnerabilidad en switches Cisco
De acuerdo con embedi, el proceso del servidor de SMI IBC contiene un código de implementación de Smart Install Client. El Smart Install Client inicia un servidor en el puerto TCP (4786) (abierto de manera predeterminada) para interactuar con el Director de instalación inteligente.
En este caso, se produce un desbordamiento del búfer basado en la pila cuando el servidor procesa este ibd_init_discovery_msg mensaje malicioso especialmente diseñado y el desbordamiento del búfer toma y abusa de la función smi_ibc_handle_ibd_init_discovery_msg.
Dos condiciones de ataque
- 1. Restablezca o cambie la enable contraseña para ingresar al modo EXEC privilegiado:
- 2. Interceptar tráfico entre otros dispositivos conectados al conmutador e Internet:
Verifica el equipo por vulnerabilidad
Los usuarios pueden verificar la vulnerabilidad realizando una exploración de red simple utilizando Nmap con el equipo de red de Cisco con un puerto abierto TCP 4786.
nmap -p T:4786 192.168.1.0/24
Aslo Para verificar si el equipo de red es de un Smart Install Client tipo, ingrese los siguientes comandos:
switch-show vstack config
Role: Client (SmartInstall enabled)
Vstack Director IP address: 0.0.0.0
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0344B794 *.4786 *.* LISTEN
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504 *.80 *.* LISTEN
Switches Cisco afectados: Catalyst 4500 Supervisor Engines, Catalyst 3850 Series, Catalyst 3750 Series, Serie Catalyst 3650, Serie Catalyst 3560, Catalyst 2960 Series, Catalyst 2975 Series, IE 2000, IE 3000, IE 3010, IE 4000, IE 4010, IE 5000, SKU SM-ES2, SKU SM-ES3, NME-16ES-1G-P, SKU SM-X-ES3
Este error ha sido resuelto por Cisco que lanzó el parche CVE-2018-0171
Fecha actualización el 2021-04-06. Fecha publicación el 2018-04-06. Categoría: cisco. Autor: Oscar olg Mapa del sitio Fuente: gbhackers