Vulnerabilidades en enrutadores, conmutadores y cámaras IP de Cisco

Se ha encontrado que varios equipos de red fabricados por Cisco son vulnerables a cinco nuevas vulnerabilidades de seguridad que podrían permitir a los piratas informáticos tomar el control completo sobre ellos y, posteriormente, sobre las redes empresariales que alimentan.

Cuatro de los cinco errores de alta gravedad son problemas de ejecución remota de código que afectan a enrutadores, conmutadores y cámaras IP de Cisco, mientras que la quinta vulnerabilidad es un problema de denegación de servicio que afecta a los teléfonos IP de Cisco. Llamadas
colectivamente ' CDPwn ' , las vulnerabilidades reportadas residen en las diversas implementaciones del Cisco Discovery Protocol (CDP) que viene habilitado de forma predeterminada en prácticamente todos los dispositivos Cisco y no se puede apagar.

Cisco Discovery Protocol (CDP) es un protocolo administrativo que funciona en la Capa 2 de la pila de Protocolo de Internet (IP). El protocolo ha sido diseñado para permitir que los dispositivos descubran información sobre otros equipos Cisco conectados localmente en la misma red.

Según un informe que el equipo de investigación de Armis compartió con The Hacker News, las implementaciones de CDP subyacentes contienen desbordamiento de búfer y vulnerabilidades de cadena de formato que podrían permitir a los atacantes remotos en la misma red ejecutar código arbitrario en los dispositivos vulnerables mediante el envío de paquetes CDP maliciosos no autenticados.

La lista de vulnerabilidades de Cisco CDPwn que afectan a decenas de millones de dispositivos ampliamente implementados en redes empresariales es la siguiente:

- Cisco NX-OS Stack Overflow en el Power Request TLV ( CVE-2020-3119 )
- Vulnerabilidad de cadena de formato Cisco IOS XR en múltiples TLV ( CVE-2020-3118 )
- Cisco IP Phones Stack Overflow en PortID TLV ( CVE-2020-3111 )
- Desbordamiento del montón de cámaras IP de Cisco en DeviceID TLV ( CVE-2020-3110 )
- Agotamiento de recursos de Cisco FXOS, IOS XR y NX-OS en las direcciones TLV ( CVE-2020-3120 )

Cabe señalar que, dado que CDP es un protocolo de capa 2 de enlace de datos que no puede cruzar los límites de una red de área local, un atacante primero debe estar en la misma red para aprovechar las vulnerabilidades de CDPwn.



Sin embargo, después de obtener un punto de apoyo inicial en una red objetivo utilizando vulnerabilidades separadas, los atacantes pueden explotar CDPwn contra los conmutadores de red para romper la segmentación de la red y moverse lateralmente a través de las redes corporativas a otros sistemas y datos sensibles.

"Obtener el control sobre el conmutador es útil de otras maneras. Por ejemplo, el conmutador está en una posición privilegiada para espiar el tráfico de red que atraviesa el conmutador, e incluso se puede usar para lanzar ataques de intermediario en el tráfico de dispositivos que atraviesa el interruptor ", dijeron los investigadores.

"Un atacante puede mirar para moverse lateralmente a través de segmentos y obtener acceso a dispositivos valiosos como teléfonos IP o cámaras. A diferencia de los interruptores, estos dispositivos contienen datos sensibles directamente, y la razón para tomarlos puede ser el objetivo de un atacante, y no simplemente una forma de salir de la segmentación ".

Además, los defectos de CDPwn también permiten a los atacantes:

- Escuche los datos / llamadas de voz y video y la transmisión de video de teléfonos IP y cámaras, capture conversaciones o imágenes sensibles.
- Extraiga datos corporativos confidenciales que fluyan a través de los conmutadores y enrutadores de la red corporativa.
- Comprometa dispositivos adicionales al aprovechar los ataques de hombre en el medio para interceptar y alterar el tráfico en el conmutador corporativo.

Además de publicar un informe técnico detallado sobre los problemas, el equipo de investigación de Armis también ha compartido videos de explicación y demostración de las fallas, como se incluyó anteriormente.



Después de trabajar estrechamente con los investigadores de Armis en los últimos meses para desarrollar parches de seguridad, Cisco lanzó hoy actualizaciones de software para todos sus productos afectados.

Aunque Cisco también ha proporcionado cierta información de mitigación, los administradores afectados siguen siendo muy recomendables para instalar las últimas actualizaciones de software para proteger completamente sus valiosas redes contra malware y amenazas emergentes en línea.

Vía:  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta