Vulnerabilidad 0 day en más de 300 switches de Cisco. Desactiva Telnet

La vulnerabilidad, anunciada por CISCO, se ha detectado el 17 de Marzo y actualizado el 17 de Abril. Lo han anunciado en esta notificación, donde puedes ver también la lista de modelos afectados, más de 300.

La vulnerabilidad se ha detectado mientras se analizaban los documentos Vault 7, la lista de herramientas de hackeo de la CIA hecha pública en Marzo por WikiLeaks. A saber cuanto más saldrá en los próximos días (son 8.761 documentos).

El agujero de seguridad permite a un usuario no identificado reiniciar el dispositivo, o ejecutar código malicioso con privilegios elevados. Todo en remoto.

La vulnerabilidad puede ser aprovechada durante la negociación del Telnet sobre IPv4 o IPv6 si la configuración del clúster es la de por defecto. Los dispositivos afectados son, según CISCO, vulnerables cuando se cumplen las dos condiciones siguientes:

• El subsistema CMP está presente en el software de imagen Cisco IOS XE en ejecución en el dispositivo.
• El dispositivo está configurado para aceptar conexiones Telnet.

Para poder comprobarlo podéis ejecutar en el dispositivo, en un CLI con privilegios, el comando:

show subsys class protocol | include ^cmp

Si el resultado es del tipo:

cmp                                Protocol    1.000.001

Tiene el subsitema CMP (cumple la condición 1).

Para saber si acepta conexiones Telnet podéis ejecutar en un CLI:

show running-config | include ^line vty|transport input

Solución:

Como dice Cisco, aunque están desarrollando parches:

“There are no workarounds that address this vulnerability.

Disabling the Telnet protocol as an allowed protocol for incoming connections would eliminate the exploit vector. Disabling Telnet and using SSH is recommended by Cisco. Information on how to do both can be found on the Cisco Guide to Harden Cisco IOS Devices.”

Es decir desactivar Telnet y usar SSH en vez del primero. Aunque eso es algo que, por seguridad, ya deberíais haber hecheo. Si no, es el momento.