Vulnerabilidad en CISCO Smart Install

Se ha producido un aumento de las actividades cibernéticas maliciosas que explotan la función heredada Cisco Smart Install (SMI). Esta función, si está habilitada de forma predeterminada en muchos dispositivos Cisco, permite a los atacantes obtener acceso no autorizado a los dispositivos de red, lo que les permite a su vez exfiltrar archivos de configuración del sistema, distribuir varias familias de Malware y causar interrupciones significativas.

¿Cuál es la amenaza?

Los expertos en seguridad reconocen ahora la función SMI, destinada principalmente a la configuración y la implementación automatizada de dispositivo Cisco, como una vulnerabilidad de seguridad importante conocida como CVE-2018-0171. Esta función puede ser explotada por atacantes remotos cuando no se aplica la seguridad adecuada. Permite a los atacantes ejecutar código arbitrario o provocar una condición de denegación de servicio (DoS) en los dispositivos afectados.

Para explotar esta vulnerabilidad, los atacantes envían mensajes de protocolo SMI especialmente diseñados a los dispositivos, lo que hace que estos respondan con detalles de configuración confidenciales. Los atacantes pueden usar estos detalles para mapear la red, identificar otro dispositivo vulnerable y distribuir Malware.

¿Por qué es de relevancia?

Debido a que la función SMI esta habilitada de manera predeterminada, muchas organizaciones aun pueden ser susceptibles sin darse cuenta, lo que aumenta significativamente el riesgo de sufrir ciberataques. La facilidad para explotar esta falla y el impacto significativo de un ataque exitoso la convierten en un problema de alta prioridad para los administradores de red.

¿Cuál es el riesgo?

Las organizaciones que no han desactivado la función Cisco SMI o no han aplicado los parches necesarios corren un riesgo importante. La explotación exitosa de esta vulnerabilidad puede provocar un acceso no autorizado a la infraestructura red, lo que da como resultado la exfiltración de datos de configuración confidenciales, la interrupción de la red y la posible propagación de Malware en la red. En algunos casos, esto podría provocar un compromiso total de la red de la organización, lo que permite a los atacantes moverse lateralmente y escalar privilegios. El potencial de un tiempo de inactividad operativo significativo, la perdida de datos y el daño a la reputación hacen que este sea un problema critico que requiere atención inmediata.

Recomendaciones

Se recomienda realizar las siguientes acciones para mantener su entorno seguro:

• Desactive la función SMI en todos los dispositivos donde no se necesite explícitamente.
• Actualice todos los dispositivos Cisco con los últimos parches de seguridad y actualizaciones de firmware.

Acércate a nosotros para brindarte más información de nuestro programa de canales:  

• Sitio web: www.pccommayorista.com
• Registro de canales: https://www.pccommayorista.com/Socio-censornet-suite.aspx
• Teléfono: +52 (55) 5599.0670
• Correo de contacto: contacto@pccommayorista.com

JR