Yaakov's Group | Ciberseguridad

Cisco advierte sobre ataques dirigidos a la vulnerabilidad del enrutador de alta gravedad

Comparte este post en tus redes sociales

Cisco advirtió hoy sobre ataques dirigidos activamente a la vulnerabilidad de alta gravedad CVE-2020-3118 que afecta a varios enrutadores de nivel de operador que ejecutan el software Cisco IOS XR de la compañía.

El SO de red IOS XR se implementa en varias plataformas de enrutadores de Cisco, incluidos los enrutadores de las series NCS 540 y 560, NCS 5500, 8000 y ASR 9000.

La vulnerabilidad afecta a los routers de caja blanca de terceros y a los siguientes productos de Cisco si ejecutan versiones vulnerables del software Cisco IOS XR y tienen el protocolo de descubrimiento de Cisco habilitado tanto en al menos una interfaz como a nivel mundial:

Enrutadores de servicios de agregación de la serie ASR 9000
Carrier Routing System (CRS)
Enrutador IOS XRv 9000
Enrutadores de la serie 540 del sistema de convergencia de red (NCS)
Enrutadores de la serie 560 del sistema de convergencia de red (NCS)
Enrutadores de la serie 1000 del sistema de convergencia de red (NCS)
Enrutadores de la serie 5000 del sistema de convergencia de red (NCS)
Enrutadores de la serie 5500 del sistema de convergencia de red (NCS)
Enrutadores de la serie 6000 del sistema de convergencia de red (NCS)

Los ataques comenzaron en octubre

«En octubre de 2020, el equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) recibió informes de intentos de explotación de esta vulnerabilidad en la naturaleza», se lee en el aviso actualizado.

«Cisco recomienda que los clientes actualicen a una versión fija del software Cisco IOS XR para remediar esta vulnerabilidad».

Hoy, la Agencia de Seguridad Nacional de los Estados Unidos (NSA) también incluyó CVE-2020-3118 entre las 25 vulnerabilidades de seguridad actualmente atacadas o explotadas por los actores de amenazas patrocinados por el estado chino.

Los atacantes podrían aprovechar la vulnerabilidad enviando un paquete de Cisco Discovery Protocol malicioso a los dispositivos que ejecutan una versión vulnerable de IOS XR.

La explotación exitosa podría permitir a los atacantes desencadenar un desbordamiento de pila que podría conducir a la ejecución de código arbitrario con privilegios administrativos en el dispositivo objetivo.

Afortunadamente, aunque esta vulnerabilidad de cadena de formato de protocolo de descubrimiento de Cisco podría llevar a la ejecución remota de código, solo puede ser explotada por atacantes adyacentes no autenticados (capa 2 adyacente) en el mismo dominio de transmisión que los dispositivos vulnerables.

Actualizaciones de seguridad disponibles
Cisco solucionó la falla de seguridad CVE-2020-3118 en febrero de 2020, junto con otras cuatro vulnerabilidades graves descubiertas por la compañía de seguridad de IoT Armis y denominadas colectivamente CDPwn.

«Los hallazgos de esta investigación son importantes, ya que los protocolos de Capa 2 son la base de todas las redes y, como superficie de ataque, son un área poco investigada y, sin embargo, son la base para la práctica de la segmentación de redes», dijo el vicepresidente de investigación de Armis Ben Seri. dijo cuando se revelaron las vulnerabilidades de CDPwn.

«La segmentación de la red se utiliza a menudo como un medio para proporcionar seguridad. Desafortunadamente, como destaca esta investigación, la infraestructura de la red en sí está en riesgo y es explotada por un atacante, por lo que la segmentación de la red ya no es una estrategia de seguridad garantizada».