Proponha uma correção, faça uma sugestão
Cuidado, há mais de 300 modelos de switches Cisco vulneráveis
As falhas de segurança, apesar de não serem normais, atingem todas as marcas e equipamentos. A mais recente visada por problemas é a Cisco, que tem 318 dos seus switches vulneráveis.
A falha veio do Vault 7, que o Wikileaks tem vindo a revelar, e permitia à CIA aceder remotamente a qualquer um dos equipamentos afetados.
Os investigadores que descobriram esta falha fizeram-no após analisarem parte dos documentos que a Wikileaks revelou nas semanas passadas. Em particular, dedicaram-se a um conjunto de documentos onde uma falha do IOS e do IOS XE.
Para explorar a falha basta ao atacante enviar um comando específico do telnet mal formatado enquanto é estabelecida a ligação ao dispositivo afetado. O problema está na forma como o protocolo trata alguns comandos.
An attacker could exploit this vulnerability by sending malformed CMP-specific telnet options while establishing a telnet session with an affected Cisco device configured to accept telnet connections.
An exploit could allow an attacker to execute arbitrary code and obtain full control of the device or cause a reload of the affected device.
A Cisco é, por agora, a única empresa a revelar as falhas que surgiram com o Vault 7 e que afetam alguns dos seus equipamentos. A Apple e a Google já vieram a público revelar que as maioria das suas falhas estavam já resolvidas.
Até ao momento, a Cisco apenas reconheceu o problema, não tendo ainda uma solução para esta falha. É agora esperada para breve uma solução. Há, no entanto, algumas pequenas medidas que podem prevenir este problema.
A mais básica de todas é o eliminar dos acessos por telnet, deixando apenas o acesso por SSH ativo. Caso não possam prescindir do telnet, então é recomendado que restrinjam o acesso apenas aos vossos equipamentos.
Não se sabe ao certo se a CIA ainda usa esta falha para conseguir aceder a equipamento espalhados pela Internet, mas o mais provável é que o faça, ainda para mais estando esta vulnerabilidade por corrigir.
Este artigo tem mais de um ano
Loading ...
A best practice é mesmo essa…:p Tanto seja SSH ou Telnet, deve existir uma rede de gestão isolada, onde só máquinas autorizadas podem aceder…
Exacto, essa será uma das boas práticas. Outra, é definir uma ACL
Como colocas um router que é o primeiro equipamento que se liga a internet numa gestão isolada?
Caro Antunes, o fato de um Router está ligado a internet não significa que o equipamento está acessível para administração na mesma. Através de ACL’s você pode definir um endereço IP ou um range na sua rede, onde só aqueles IPs poderão gerir esse equipamento.
E ainda como forma adicional de segurança no acesso, poderia ser definido que apenas o micro conectado em uma determinada porta RJ 45 possa ter privilégios para administração.
resumindo: VLAN de gestão. fácil.
A cisco deixa muito a desejar…equipamentos caríssimos e com falhas gravissimas as quais o fabricante nem as reconhece por vezes como tal, mas sim como uma “má configuração” do técnico…lembro-me por exemplo da falha (sim, falha), no proto snmp, para com a comunidade r/w ILMI, a qual se encontrava presente em quase todos os equipamentos cisco e a qual – segundo a cisco – era uma “feature”….o engraçado é que a mesma não aparecia nem na running-config ou startup-config, mas existia como activa….era preciso ler os caveats da cisco para saber que ela existia e negar-la nos equipamentos prepositadamente…Não é preciso ser-se muito inteligente para perceber que isto dava acesso a toda uma estrutura de rede fosse um banco, Isp, ou outro….sem comentários.
sabes pouco disto sabes.
cisco é o melhor vendor em equipamentos de rede.
o que escreves no comentário vale 0.
SNMP está DESATIVO por defeito.
int3, dedica-te ao linux, Cisco nunca foi o melhor nem nunca será, quanto muito é o melhor preço/qualidade por isso vês tão disseminado nas nossas empresas tugas, isso aliado à mentalidade das academias Cisco. Tens players bem melhores, Juniper, Alcatel-Lucent, Aruba, Polycom e Brocade. E digo-te mais, as empresas com mais networking em Portugal na sua grande maioria nem sequer têm nenhum equipamento Cisco, já estive nelas todas 😉
Você, int3, é um verdadeiro Inginheiro (sim, com “i” maiúsculo!)…ora venha lá explicar aqui à malta, o que você julga ser o protocolo para gestão e monitorização de tráfego; “platform independent”, mais utilizado por este mundo fora, nos NOC (e não só). É que fazer uma afirmação de “aaaaa e tal…o snmp vem desligado…” dá-me a entender que você deve ser inginheiro…como muitos dos “inginheiros” automóveis que têm a mania que por aí andam.
“desligar” o telnet nao resolve o problema ?
Sim, desde que garantas acesso remoto por SSH, tudo bem
Quem usa TELNET só pode estar a pedir problemas. Do ponto de vista de segurança, já nem se deve ser utilizado, nem mesmo em redes/VLANs de gestão.
+1 Usar telnet é tipo usar sinais de fumo para comunicar e estar à espera que as comunicações não possam ser “escutadas”.
se só existir acesso via lan, qual é o problema? bruteforce a password?
Nem precisas de brute force, se porventura algum equipamento intermediário for comprometido, estas a dar o teu utilizador e password de bandeija.
Sobre a Cisco faz tempo que já se sabe que os seus equipamentos estão comprometidos. Há pelo menos dois anos, ou mais, que se sabe que os routers e respectivas firewalls da dita tem falhas exploradas pela CIA/NSA.
O mais provável até é que sejam falhas intencionais. Sendo a maior empresa do ramo que fornece equipamento “backbone” para grande parte da rede é mais do que provável que haja altos quadros da Cisco com ligações à inteligência, tal como acontece em muitas empresas high tech americanas sobretudo com o intuito de as favorecer através de espionagem industrial.
estava com ideias de comprar um switch da Cisco, visto isto, que marcas aconselham ?
Cisco.
para onde?
casa?
managed ou unmanaged?
tp-link para a frente se for unmanaged.
linksys ou HP se for managed.
em PME com dimensão razoável tenta cisco. mas são caros. só que duram para sempre.
O Switch é para PME .
Obrigado Pedro Pinto e int3 pela resposta.
transport input ssh
resolve logo.
por não falar que a versão do proto 2, e criar uma VLAN de gestão untagged.
há tantas maneiras de isolar estes problemas…. tantas….