Vulnerabilidad crítica en Cisco IOS deja a miles de dispositivos al descubierto

La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario, tomar el control total de los equipos de la red vulnerable e interceptar tráfico.

Resultado de imagen de cisco hacked

La vulnerabilidad de desbordamiento de búfer (CVE-2018-0171) reside debido a una validación incorrecta de los datos del paquete Small Install Client, el cuál es una función plug-and-play que ayuda a los administradores a implementar dispositivos de red fácilmente.

La empresa Embedi, descubridora de este fallo, ha publicado los detalles técnicos y el código de la prueba de concepto (PoC) después de que Cisco lanzara las actualizaciones pertinentes para abordar el fallo.

Como funciona la vulnerabilidad:

Un atacante debe enviar un mensaje de instalación del software antes mencionado (Small Install Client) a un dispositivo afectado en el puerto 4784, que está abierto de manera predeterminada.

Cisco comentó en un comunicado:

“Para ser más precisos, el desbordamiento de búfer se encuentra en la función ‘smi_ibc_handle_ibd_init_discovery_msg'” y “porque el tamaño de los datos copiados directamente a un búfer de tamaño fijo no son comprobados. El tamaño y los datos se toman directamente del paquete de red el cuál es controlado por el atacante.”

Demostraciones en vídeo:

En la primera demostración, los investigadores atacaron a un switch Cisco Catalyst 2960 para cambiar la contraseña y entrar en el modo EXECprivilegiado.

En la segunda, explotan el fallo para interceptar el tráfico entre otros dispositivos conectados al switch vulnerable e internet.

Dispositivos vulnerables:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SN-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SkUs

 

Cisco publicó el parche para corregir este fallo el 28 de Marzo, por lo que se recomienda a todo el mundo que actualice sus dispositivos lo antes posible.

Ejecución remota de código en el motor de Microsoft Malware Protection

Microsoft ha actualizado urgentemente su motor Microsoft Malware Protection (mpengine.dll) para corregir una vulnerabilidad crítica que afectaría, entre otros, a Windows Defender, Security Essentials y Exchange Server.

La vulnerabilidad fue descubierta por el investigador de Google Project Zero, Thomas Dullien, y se le ha asignado el CVE-2018-0986. Según lainvestigación de Thomas, existiría una incorrecta comprobación de valores en el módulo principal “mpengine.dll”, al haber realizado una implementación de la gestión de archivos comprimidos en formato RAR, utilizando para ello un fork del código libre de unrar.
El problema reside en la modificación del código original, eliminando la comprobación de signo de los valores (signed int), que sí estaba presente inicialmente.
En base a la prueba de concepto publicada, un atacante, utilizando un fichero .RAR especialmente modificado, podría generar un desbordamiento de memoria y potencialmente ejecutar código de manera remota, como se comenta en el propio reporte:

An attacker that can set PosR to be -2, and DataSize to 1, will bypass the (PosR + 2 < DataSize) check.

A minimal sample RAR file that exhibits these traits & causes mpengine to corrupt memory and crash is attached.

Debido a que este motor está presente de serie en diversas versiones de Windows (desde la 7 hasta la 10) y herramientas específicas de correo, como Exchange server, se han publicado urgentemente paquetes de actualizaciones automáticas para corregir la vulnerabilidad.

Las versiones afectadas son:

  • Microsoft Exchange Server 2013 y 2016
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Security Essentials
  • Windows Defender (Windows 7, 8, 10, Server 2012, 2016)
  • Windows Intune Endpoint Protection