CSIRT Panamá Aviso 2018-05-18 Sistemas Cisco: Vulnerabilidades de arquitectura de red.
Gravedad: Crítica
Fecha de publicación: mayo 15, 2018
Fecha de modificación: mayo 15, 2018
Última revisión: Revisión A.
Fuente: www.cisco.com
Sistemas afectados
La vulnerabilidad que promueve accesos autorizados, con credenciales estáticas desde cuentas escaladas y/o administrativas a centros de arquitectura digital de redes(DNA) cisco afecta a todas las versiones de software 1.1.3 y anteriores.
Vulnerabilidad de evasión de autenticación a centros de arquitectura digital de redes(DNA) cisco afecta a todas las versiones de software previas a la 1.1.2.
Por las vulnerabilidades de aspecto alto:
Vulnerabilidad en el Software de Infraestructura NFV Empresarial de Cisco: Afecta a dispositivos corriendo las versiones 3.7.1 , 3.6.3 o anteriores de dicho sistema (NFVIS) cuando el acceso a Secure Copy Protocol(SCP) es permitido en el dispositivos afectado.
La vulnerabilidad en el procesamiento del RTP en el software del Cisco Meeting Server afecta a las versiones : 2.0 , 2.1 , 2.2 y 2.3.
La vulnerabilidad afecta los siguientes productos ISE De Cisco:
– Cisco ISE
– Cisco ISE Express
– Cisco ISE Virtual Appliance
Productos Vulnerables al CSRF al Cisco IoT Field Network Director :
– Sistemas administración red del grid de conexiones si está corriendo un software previo al IoT-FND 3.0.
– IoT Field Network Director si está corriendo cualquier versipon previa a IoT-FND 4.1.1-6 o 4.2.0-123
I. Descripción
Vulnerabilidades de gama crítica:
Cisco DNA Center es un appliance físico dedicado con el sistema operativo cisco preisntalado.
Se descubrió una vulnerabilidad en dicho sistema que permite a un atacante remoto evadir la autenticación y ganar privilegios elevados. Esta vulnerabilidad se debe a una configuración por defecto insegura en el contenedor del subsistema de administración; Kubernetes ,dentro del DNA Center. Junto a esta se descubrió otra muy ligada que tras haber vulnerado el sistema el atacante puede accesar al sistema usando una cuenta administrativa que tiene , por defecto, credenciales de usuario estático
También ha sido vulnerado la puerta de enlace API de DNA Center de Cisco, esta permite evadir la autenticación y acceder a servicios críticos. Dicha vulnerabilidad se da gracias a la falla al normalizar las URL previo a las peticiones del servicio, esto se expone a un atacante introduciendo una URL modificada específicamente para explotar el problema.
Vulnerabilidades altas:
Vulnerabilidades en el servidor de protocolo de copia seguro (SCP) en el software de infraestructura empresarial NFV de Cisco (NFVIS) podría permitir ua un atacante sin autenticar acceder al shell en el sistema operativo Linux del dispositivo afectado.
Vulnerabilidad en el procesamiento por parte del protocolo de transporte en tiempo real (RTP) en el Meeting Server de Cisco podría permitir que u.n atacante remoto sin autenticar cause una denegación de servicio (DoS).
Una vulnerabilidad en la validación del certificado del protocolo de autenticación extensivo de seguridad de la capa de transporte (EAP-TLS) durante la autenticación EAP para el Cisco Identity Services Engine (ISE) puede permitir un atacante sin autorización reinicar de manera inesperada la aplicación ISE creando una denegación de servicio en el sistema afectado.
Junto a las vulnerabilidades previas se descubrió una en la interfaz de administración basada en web de Cisco IoT Field Network Director (IoT-FND) puede permitir a un atacante remoto llevar acabo un ataque de falsificación de petición en sitios cruzados (CSRF) y alterar la data de los usuarios y grupos en el dispositivo afectado.
II. Mitigacion
– La vulnerabiliad conjunta que permite al atacante usar credenciales estáticas fue solucionada en la versión 1.1.3 del software. Mientras que la vulnerabilidad de escalabilidad de privilegios ha sido solucionada en la version 1.1.4 del software Cisco DNA. *
– Para asegurarse contra la vulnerabilidad que evade autenticaciones e inserta URL explotables se recomienda actualizar a la version 1.1.2 del software o cualquiera consecutiva de Cisco DNA.*
– Vulnerabilidad referente al NFVIS fue corregida en la versiones: 3.8.1 en adelante.
– En caso de la vulnerabilidad al Cisco Meeting Server se aconseja:
– Si está en la versión 2.0 , migrar a la versión 2.2.10
– Si está en la versión 2.1 , migrar a la versión 2.1.12
– Si está en la versión 2.2 , migrar a la versión 2.2.10
– Si está en la versión 2.3 , migrar a la versión 2.3.1
– En caso de las vulnerabilidades ISE se advierte:
– Si está en cualquier versión previa a 1.4.0 , migrar a la versión 1.4.0.253-Patch12
– Si está en la versión 1.4.0 , migrar a la versión 1.4.0.253-Patch12
– Si está en la versión 2.0.0 , migrar a la versión 2.0.0.306-Patch6
– Si está en la versión 2.0.1 , migrar a la versión 2.0.1.130-Patch5
– Si está en la versión 2.1.0 , migrar a la versión 2.1.0-Patch7
– Si está en la versión 2.2.0 , migrar a la versión 2.2.0.470-Patch5
– La versión 2.3.0 , NO es vulnerable.
– La vulnerabilidad que afecta al Cisco IoT-FND fue reparada en las versiones 4.1.1.-6 , 4.2.0-123 y versiones siguientes.
III. Referencia a soluciones, herramientas e información
Las actualizaciones están disponibles para instalación desde la nube Cisco y no están disponible para descarga desde el Software Center en Cisco.com. Para instalar las actualizaciones se puede utilizar la función de Actualizaciones de Sistema del software.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180516-dnac
– https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180516-dna2
– https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180516-dna
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa