O fabricante decidiu investigar uma vulnerabilidade revelada nos documentos da CIA divulgados pela organização e que afecta 300 modelos de switches Catalyst.
Uma vulnerabilidade do software IOS da Cisco, divulgada no recente bloco de documentos da CIA pela WikiLeaks, levou a empresa a lançar um aviso crítico aos seus clientes utilizadores de switches de rede, Catalyst. A falha de segurança permite que um intruso cause uma recarga de um dispositivo afectado ou execute remotamente um código para assumir o controlo sobre um dispositivo.
À partida o problema abrange mais de 300 modelos de máquinas Catalyst desde o 2350-48TD-S Switch ao SM-X Layer 2/3 EtherSwitch Service Module 2350-48TD-S. Especificamente, a vulnerabilidade está contida no Cluster Management Protocol que usa o Telnet como norma de sinalização e comando entre os membros dos agrupamentos de máquinas.
A vulnerabilidade deve-se à combinação de dois factores segundo a Cisco:
‒ uma falha em restringir o uso de opções Telnet específicas do CMP somente para comunicações locais internas, entre dispositivos membros de clusters. Em vez disso as opções são aceites e processadas por qualquer conexão Telnet a um dispositivo afectado.
‒ o processamento incorrecto de opções mal formadas de Telnet específicas do CMP.
“Com base na divulgação pública do ‘Vault 7’ , a Cisco lançou uma investigação sobre os produtos que poderiam ser impactados por essas vulnerabilidades e semelhantes. Como parte da investigação interna sobre os nossos próprios produtos e informações publicamente disponíveis, os investigadores de segurança da Cisco encontraram uma vulnerabilidade no código do Cluster Management Protocol, no Cisco IOS e no Cisco IOS XE Software, que pode permitir a um atacante remoto não autenticado, causar uma recarga de um dispositivo afectado ou executar remotamente código com privilégios elevados”, diz a Cisco.
Os clientes que não podem ou não querem desactivar o protocolo Telnet têm a opção de reduzir a superfície de ataque implementando listas de controlo de acesso à infra-estrutura (iACL)
Para atenuar o problema, as organizações devem considerar a desactivação do protocolo Telnet, como aquele permitido para conexões de entrada de dados, o que elimina o vector de exploração. A Cisco recomenda a utilização do SSH.
Informações sobre como fazer as alterações podem ser encontradas no manual Cisco Guide to Harden Cisco IOS Devices. Os clientes que não podem ou não querem desactivar o protocolo Telnet têm a opção de reduzir a superfície de ataque implementando listas de controlo de acesso à infra-estrutura (iACL).