Qué pasa con Internet: ataque en los conmutadores Cisco

6 Abr 2018
Amenazas Noticias

Supongamos que se cayera la conexión a Internet o, quizás, que no puedas acceder a tu sitio web preferido. Hay un motivo, según nuestras fuentes, los conmutadores de Cisco, usados en centros de datos del todo el mundo, están sufriendo un ataque masivo.

Un bot que busca Ciscos vulnerables

El ataque se está desarrollando de la siguiente forma. Un actor de amenaza desconocido explota una vulnerabilidad en el software llamado Cisco Smart Install Client, que les permite ejecutar código arbitrario en los conmutadores vulnerables. Entonces, los ciberdelincuentes sobrescriben la imagen del Cisco IOS en los conmutadores y cambian el archivo de configuración, dejando el siguiente mensaje: “Do not mess with our elections” (“No te entrometas en nuestras elecciones” en español), a continuación, queda inutilizado.

Al parecer, un bot busca conmutadores Cisco vulnerables a través de Shodan, el motor de búsqueda de IdC, y explota la vulnerabilidad en ellos (o puede que use la propia herramienta de Cisco diseñada para buscar dispositivos vulnerables). Una vez que encuentra el conmutador vulnerable, explota el Smart Install Client y sobrescribe la configuración y, por consiguiente, desmonta otro segmento de Internet. Como resultado, algunos centros de datos quedan inhabilitados y eso, a su vez, da como resultado que algunos sitios populares queden inoperativos.

Según Cisco Talos, se encuentran más de 168.000 dispositivos en Shodan con esta vulnerabilidad. Queda por determinar la escala del ataque, sin embargo, se prevé que sea bastante extensa, con una gran cantidad de proveedores de internet y centros de datos impactados. Parece que el ataque se está dirigiendo principalmente a los segmentos de Internet de habla rusa, aunque la infección también está llegando a otros ámbitos.

Estamos estudiando el ataque e iremos añadiendo más información a esta publicación conforme conozcamos más datos.

Cómo pueden hacerle frente los administradores de sistema

Al principio, la función Smart Install fue diseñada como un instrumento para facilitar la tarea de los administradores de sistemas, ya que permite la configuración remota y la gestión de imágenes de sistemas operativos en conmutadores Cisco. Es decir, puedes utilizar equipos en un sitio remoto y configurar todo desde las oficinas centrales, lo que se conoce como Zero Touch Deployment. Para ello, Smart Install Client debe estar habilitado y el puerto TCP 4786, abierto (ambas opciones estás activadas por defecto).

El protocolo Smart Install no requiere la identificación por defecto, por eso nos preguntamos si podemos llamarla vulnerabilidad. Cisco no lo hace. Lo consideran un uso incorrecto del protocolo Smart Install. De hecho, es un problema de los centros de datos que no han conseguido limitar el acceso al puerto TCP 4786 o desactivar Smart Instal.

Para comprobar si Smart Install funciona, puedes ejecutar el comando “show vstack config” en tu conmutador y, si este responde en positivo (es decir, si el Smart Install está activado), es mejor desactivarlo con el comando “no vstack”.

Sin embargo, en algunas versiones del sistema operativo de Cisco solo funcionará hasta que se reinicie el conmutador (en Cisco Catalyst 4500 y 4500-X Series Switches con sistema 3.9.2E/15.2(5)E2; en Cisco Catalyst 6500 Series Switches versiones de sistema 15.1(2)SY11, 15.2(1)SY5 y 15.2(2)SY3; en Cisco Industrial Ethernet 4000 Series Switches con sistemas 15.2(5)E2 y 15.2(5)E2a y en Cisco ME 3400 y ME 3400E Series Ethernet Access Switches con OS 12.2(60)EZ11). En ese caso, se recomienda actualizar la versión del sistema (o incluso hacer downgrade) o automatizar la ejecución del comando “no vstack”. Para detectar la versión de tu sistema operativo puedes ejecutar el comando “show version”.

Si tus procesos empresariales no te permiten bloquear Smart Install o la versión de tu sistema operativo de Cisco no admite el comando “no vstack” (muy posible, ya que se añadió con uno de los parches), deberías limitar las conexiones al puerto 4786. Cisco recomienda hacerlo con la Lista de control de acceso, para que solo el equipo autorizado pueda conectarse a tus conmutadores a través de ese puerto. En el siguiente ejemplo, este equipo se sitúa en la dirección IP 10.10.10.1.

Ejemplo:

ip access-list extended SMI_HARDENING_LIST
 permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
 deny tcp any any eq 4786
 permit ip any any

Si quieres saber más sobre estar vulnerabilidad, puedes leer este informe. Encontrarás más información sobre Cisco Smart Install Protocol Misuse aquí.