Gravi Vulnerabilità in Smart Install Cisco

Proto: N010418.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una grave vulnerabilità all’interno del firmware dei dispositivi Cisco IOS e IOS XE: il modulo Smart Install, comunemente utilizzato per il provisioning di configurazioni ed immagini di sistema, può essere sfruttato per la compromissione del sistema. La vulnerabilità è nota con l’identificativo  CVE-2018-0171.

La problematica ha origine da gravi lacune nella gestione della memoria all’interno del modulo client di Cisco Smart Install presente su numerosi dispositivi, attraverso le quali un attaccante di rete non autenticato può essere in grado di eseguire codice remoto, prendere il controllo del dispositivo vittima o creare forti disservizi di rete.


Figura 1. Servizi Cisco Smart Client accessibili al pubblico (Fonte:ShodanHQ)


Il Produttore ha confermato la problematica attraverso il bollettino di sicurezza CISCO-SA-20180328-SMI2, indicando che la funzionalità Smart Install è abilità di default per tutti i dispositivi ai quali non sono state applicate le risoluzioni del bug “CSCvd36820”.

Le versioni firmware di Cisco IOS e IOS XE sono molteplici, così come le famiglie di dispositivi afflitti, pertanto il Produttore suggerisce di verificare lo stato di vulnerabilità dei dispositivi Cisco in uso attraverso il software-checker messo a disposizione (richiede output del comando “show version”). In linea generale sono coinvolti dalla problematica tutti i dispositivi IOS e IOS XE che supportano le funzionalità Smart Install, come ma non limitato a:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Siccome dettagli tecnici e strumenti volti a replicare la problematica sono stati resi pubblici e considerata la potenziale esposizione al pubblico di device afflitti, Yoroi consiglia caldamente di verificare la presenza di servizi vulnerabili su porzioni di rete raggiungibili dall’esterno (porta di default tcp/4786); qualora non fosse possibile applicare gli aggiornamenti di sicurezza indicati dal Produttore, Yoroi consiglia di limitarne la visibilità alle sole porzioni di rete ritenute sufficientemente fidate.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index