lunes, octubre 22

Alerta Kaspersky Lab sobre ciberataque a través del programa Cisco Smart Install Client

0
Compartir nota

De acuerdo con Kaspersky, tuvo lugar un ciberataque masivo, el cual explicó, parece haber explotado instancias mal configuradas de Cisco IOS que ejecuta Smart Install Client, lo que permitió a los atacantes actualizar la imagen de IOS en los switches o modificar el archivo de configuración para publicar el mensaje: “No te metas con nuestras elecciones”. En consecuencia, el switch dejó de estar disponible.

Agregó que la capacidad de explotar switches se debe al hecho de que el puerto TCP 4786, que es utilizado por Smart Install Client, permaneció abierto y fue accesible para los atacantes. La propia naturaleza del protocolo de instalación inteligente es proporcionar acceso no autenticado a la configuración del switch con privilegios de lectura/escritura. Se considera una mejor práctica limitar el acceso a esta función con ACL, o incluso, desactivarlo por completo en el switch.

Acciones para protegerse

Kaspersky Lab, destacó que Cisco Systems publicó el 28 de marzo de 2018 un aviso sobre una nueva vulnerabilidad en Smart Install Client, marcado como CVE-2018-0171, que puede causar denegación de servicio o ejecución remota de código en el switch. Al respecto la firma de seguridad mencion que si bien es más difícil de explotar que el “uso indebido del protocolo” antes mencionado, es muy importante aplicar los parches proporcionados por el proveedor.

Asimismo refirió como fundamental limitar el acceso al puerto TCP 4786 a través de las listas de control de acceso o desactivar la instalación inteligente de Cisco. Además, recomendó instalar los parches para CVE-2018-0171 que el proveedor puso a disposición. Restaurar desde una configuración de respaldo ayudará a que el interruptor vuelva a estar operativo.

“Este incidente sirve como un recordatorio de una buena práctica de ciberseguridad. En primer lugar, siempre instale los parches lo antes posible, y en segundo, verifique los protocolos predeterminados que vienen con un dispositivo: es posible que deba ajustarlos”, comentó Artem Kondratenko, penetration tester, Kaspersky Lab, quien agregó que si bien, es crucial aplicar un parche para la vulnerabilidad de instalación inteligente, esto por sí solo no evitará dicho ataque debido a la naturaleza del protocolo de instalación inteligente: que es proporcionar acceso de lectura/escritura a la configuración del conmutador sin ninguna autenticación. La solución, precisó, es deshabilitar la función de instalación inteligente o limitar el acceso a ella a través de las listas de control de acceso.

 

contactame@esemanal.mx

Compartir nota
Share.

Sobre el autor

Comments are closed.