Cisco Smart Install Protocol RCE Vulnerability

Foto: VisualHunt.com

În data de 28 Martie 2018, compania CISCO a publicat un buletin de securitate privind o vulnerabilitate de tip buffer-overflow, identificată în caracteristica Smart Install  (specifică software-ului Cisco IOS și Cisco IOS XE) [2]. Exploatarea acestei vulnerabilități poate permite unui potențial atacator sau utilizator fără drepturi legitime de autentificare, execuția cu succes de cod arbitrar.

De asemenea, exploatarea cu succes a vulnerabilității poate conduce la declanșarea procesului de reinițializare a dispozitivului fectat sau la intrarea acestuia într-o buclă nedeterminată, care va avea ca rezultat oprirea forțată a modulului watchdog.

Această vulnerabilitate este catalogată în baza de date CVE prin identificatorul CVE-2018-0171.

Potrivit autorilor care au publicat inițial vulnerabilitatea, aceasta este clasată ca vulnerabilitate critică [3]:

AV:N/AC:L/Au:N/C:C/I:C/A:C (10.0).

Un proof of concept corespondent a fost deja publicat [3]. La momentul scrierii acestei alerte, existau aproximativ 160.000 de dispozitive conectate la Internet, identificate cu ajutorul platformei Shodan. De asemenea, au fost identificate mai multe atacuri specifice în mediul online.

Patch-urile corespunzătoare au fost publicate ca parte componentă a setului de remedieri de securitate lansat în data de 28 Martie 2018, Cisco IOS and IOS XE Software Security Advisory Bundled Publication, care include 20 de măsuri de securitate și descrie 22 de vulnerabilități software specifice Cisco [2].

Dispozitivele Cisco, care sunt configurate ca Smart Install Director, nu sunt afectate.

Impact

Conform buletinului de securitate Cisco [2], această vulnerabilitate afectează dispozitivele Cisco care rulează versiunile vulnerabile corespunzătoare software-urilor Cisco IOS și IOS XE și au activată opțiunea Smart Install Client.

Menționăm că potrivit buletinului de securitate, numai switch-urile configurate ca Smart Install Client sunt afectate de această vulnerabilitate. Dispozitivele configurate ca Smart Install Director nu sunt afectate.

Funcționalitatea Smart Install Client este activată în mod implicit pentru versiunile de software Cisco IOS care nu au fost actualizate în vederea adresării breșei de securitate Cisco ID CSCvd36820.

În acest context, compania Cisco a publicat o listă de dispozitive care suportă Smart Install [4].

Între 06-07 Aprilie 2018, grupul cunoscut sub numele de ” JHT” a atacat mai multe infrastructuri utilizând vulnerabilitatea CVE-2018-0171. Prin exploatarea ei, atacatorii au reușit să rescrie fișierul de configurare startup-config și să repornească router-ele afectate. Fișierul startup-config conținea mesajul "Don't mess with our elections.... -JHT [email protected]" :

Ministerul Comunicațiilor și Tehnologiei Informației din Iran a declarat că peste 200.000 de routere din întreaga lume au fost afectate, dintre care 3.500 în Iran.

Remediere

CERT-RO vă recomandă parcurgerea următoarelor etape generale, în vederea remedierii acestei vulnerabilități:

• Determinați dacă este activată opțiunea pentru Smart Installer Client;
• Determinați dacă versiunea de software utilizată face parte din lista celor vulnerabile;
• Remediați vulnerabilitatea prin urmarea procedurii de upgrade sau contactarea suportului tehnic.

Detalii privind măsurile de remediere, prezentate succint mai sus, se regăsesc în buletinul de securitate publicat de producător, Cisco Security Advisory din data de 28 Martie 2018 [2].

În cazul în care, din diferite motive, nu a putut fi aplicată procedura de remediere a vulnerabilităților publicată de Cisco, următoarele ar putea fi considerate posibile direcții de remediere:

• Dezactivarea funcționalității Smart Install Client

Așa cum am menționat anterior, această opțiune poate fi activă în mod implicit sau nu, în funcție de versiunea de software și de actualizările aplicate. În această fază este importantă parcurgerea cu atenție a documentației oficiale corespunzătoare versiunii de software utilizată. În plus, alte surse susțin faptul că această configurare poate fi resetată după reinițializarea echipamentului, în funcție de versiunea software-ului și actualizările aplicate [8, 9].

• Limitarea accesului

În cazul în care această funcționalitate este absolut necesară și patch-urile recomandate nu pot fi aplicate, este recomandată implementarea unor liste de acces în cadrul echipamentelor, pentru a limita accesul la această facilitate doar pentru adresele IP legitime [9].

De asemenea, se recomandă blocarea accesului către această facilitate din firewall, respectiv configurarea unui tunel VPN dacă este necesară comunicația cu exteriorul rețelei locale.

Surse

• https://cert.europa.eu/static/SecurityAdvisories/2018/CERT-EU-SA2018-009.pdf
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
• https://embedi.com/blog/cisco-smart-install-remote-code-execution/
• https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/supported_devices.html
• https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/concepts.html
• https://embedi.com/blog/how-cook-cisco/
• https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/commands.html
• https://www.kaspersky.com/blog/cisco-apocalypse/21966/
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi
• http://www.securityfocus.com/bid/103538
• http://www.securitytracker.com/id/1040580
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
• https://www.reuters.com/article/us-iran-cyber-hackers/iran-hit-by-global-cyber-attack-that-left-u-s-flag-on-screens-idUSKBN1HE0MH
• https://www.bleepingcomputer.com/news/security/iranian-and-russian-networks-attacked-using-ciscos-cve-2018-0171-vulnerability/
• https://www.helpnetsecurity.com/2018/04/09/attack-cisco-switches-cve-2018-0171/
• https://securityaffairs.co/wordpress/71181/hacking/cve-2018-0171-russia-iran-attacks.html
• https://thehackernews.com/2018/04/cisco-switches-hacking.html