Llegamos a ustedes gracias a:



Alertas de Seguridad

Esta herramienta puede ayudarle a descubrir abusos

En el protocolo Cisco Smart Install

[06/03/2017] En las últimas semanas los atacantes han estado sondeando las redes en busca de switches que podrían ser secuestrados utilizando el protocolo Cisco Smart Install (SMI). Los investigadores del equipo Talos de Cisco han lanzado ahora una herramienta que permite a los propietarios de las redes descubrir los dispositivos que podrían ser vulnerables a este tipo de ataques.

El protocolo Cisco SMI es utilizado para el llamado despliegue zero-touch de nuevos dispositivos, switches de acceso primario que ejecutan el software Cisco IOS o IOS XE. El protocolo permite que los switches recién instalados descarguen automáticamente su configuración vía SMI de un switch o router existente configurado como integrated branch director (IBD).

El director puede copiar el archivo startup-config del cliente o reemplazarlo por uno personalizado, puede cargar una imagen IOS particular en el cliente y puede ejecutar comandos de modo de configuración de alto privilegio en él. Debido a que el protocolo SMI no soporta ningún mecanismo de autenticación o autorización de forma predeterminada, los atacantes podrían secuestrar los dispositivos basados en SMI.

Esto es un abuso de una característica que funciona según lo previsto, por lo que no es ninguna vulnerabilidad que se deba parchar; sin embargo, Cisco ha publicado una asesoría de seguridad y entrada de blog con información acerca de cómo los clientes pueden detectar y bloquear los ataques.

La empresa ha proporcionado una nueva firma de IPS (intrusion prevention system) y reglas Snort para detectar el uso de Smart Install en las redes del cliente.

La reciente actividad de exploración de Smart Install observada podría estar relacionada con el reciente lanzamiento de una herramienta de código abierto llamada Smart Install Exploitation Tool (SIET).

Los clientes que no necesitan la funcionalidad Cisco Smart Install simplemente deben deshabilitar la característica de sus switches. Aquellos que sí la necesitan, deben seguir los consejos de mitigación de Cisco.

El equipo Talos de Cisco ha desarrollado y lanzado su propia herramienta de exploración que los clientes pueden utilizar para encontrar los switches que tienen habilitado Smart Install en sus redes. La herramienta se llama Smart Install Client Scanner y fue publicada en GitHub.