De acuerdo con Kaspersky, tuvo lugar un ciberataque masivo, el cual explicó, parece haber explotado instancias mal configuradas de Cisco IOS que ejecuta Smart Install Client, lo que permitió a los atacantes actualizar la imagen de IOS en los switches o modificar el archivo de configuración para publicar el mensaje: “No te metas con nuestras elecciones”. En consecuencia, el switch dejó de estar disponible.
Seguridad

Alerta Kaspersky Lab sobre ciberataque a través del programa Cisco Smart Install Client

Redacción11/04/2018
2 minutos de lectura

De acuerdo con Kaspersky, tuvo lugar un ciberataque masivo, el cual explicó, parece haber explotado instancias mal configuradas de Cisco IOS que ejecuta Smart Install Client, lo que permitió a los atacantes actualizar la imagen de IOS en los switches o modificar el archivo de configuración para publicar el mensaje: “No te metas con nuestras elecciones”. En consecuencia, el switch dejó de estar disponible.

Agregó que la capacidad de explotar switches se debe al hecho de que el puerto TCP 4786, que es utilizado por Smart Install Client, permaneció abierto y fue accesible para los atacantes. La propia naturaleza del protocolo de instalación inteligente es proporcionar acceso no autenticado a la configuración del switch con privilegios de lectura/escritura. Se considera una mejor práctica limitar el acceso a esta función con ACL, o incluso, desactivarlo por completo en el switch.

Acciones para protegerse

Kaspersky Lab, destacó que Cisco Systems publicó el 28 de marzo de 2018 un aviso sobre una nueva vulnerabilidad en Smart Install Client, marcado como CVE-2018-0171, que puede causar denegación de servicio o ejecución remota de código en el switch. Al respecto la firma de seguridad mencion que si bien es más difícil de explotar que el “uso indebido del protocolo” antes mencionado, es muy importante aplicar los parches proporcionados por el proveedor.

Asimismo refirió como fundamental limitar el acceso al puerto TCP 4786 a través de las listas de control de acceso o desactivar la instalación inteligente de Cisco. Además, recomendó instalar los parches para CVE-2018-0171 que el proveedor puso a disposición. Restaurar desde una configuración de respaldo ayudará a que el interruptor vuelva a estar operativo.

“Este incidente sirve como un recordatorio de una buena práctica de ciberseguridad. En primer lugar, siempre instale los parches lo antes posible, y en segundo, verifique los protocolos predeterminados que vienen con un dispositivo: es posible que deba ajustarlos”, comentó Artem Kondratenko, penetration tester, Kaspersky Lab, quien agregó que si bien, es crucial aplicar un parche para la vulnerabilidad de instalación inteligente, esto por sí solo no evitará dicho ataque debido a la naturaleza del protocolo de instalación inteligente: que es proporcionar acceso de lectura/escritura a la configuración del conmutador sin ninguna autenticación. La solución, precisó, es deshabilitar la función de instalación inteligente o limitar el acceso a ella a través de las listas de control de acceso.

 

[email protected]

Etiquetas
Redacción11/04/2018
2 minutos de lectura

Publicaciones relacionadas

Los ciberataques cierran 1 de cada 4 operaciones industriales

09/04/2024

Hacia una ciberseguridad unificada en entornos OT: Perspectivas del LATAM OT Security Summit de Fortinet

09/04/2024

Sophos y Tenable lanzan Servicio de Gestión de Riesgos

08/04/2024

Colaboran Check Point y Microsoft para potenciar Infinity IA Copilot con el servicio Azure OpenAI

04/04/2024
Botón volver arriba


Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Powered by Social Snap
Copy link
CopyCopied
Powered by Social Snap