Lo que necesita saber sobre el último parche de enrutador de Cisco

No hace mucho tiempo, el gigante de TI anunció una vulnerabilidad crítica en el sistema ASR 9000. Bajo el corte, decimos cuál es la esencia del error y cómo solucionarlo.


Foto - ulleo - PD

La vulnerabilidad se descubrió en los enrutadores de la serie ASR 9000 que ejecutan IOS XR de 64 bits. Este es un equipo de alta gama para centros de datos de compañías de telecomunicaciones y operadores móviles, que tiene una capacidad de 400 Gb / s por ranura y admite tarjetas de línea 40G / 80G.

Las vulnerabilidades han asignado el identificador CVE-2019-1710 . Ella obtuvo 9.8 sobre 10 en una escala CVSS.

Este estándar fue desarrollado por un grupo de expertos en seguridad de la información de compañías como Microsoft, Cisco, CERT, IBM para evaluar el peligro de errores.

¿Por qué es ella peligrosa?

El error brinda a los atacantes la oportunidad de obtener acceso no autorizado a las aplicaciones del sistema en la máquina virtual del administrador. Los hackers pueden ejecutar código malicioso de forma remota y realizar ataques DoS. Según los ingenieros de Cisco, el problema radica en el aislamiento incorrecto de la interfaz de administración secundaria (MGT LAN 1 en el procesador de conmutador de ruta - RSP) de las aplicaciones internas del administrador. Un atacante puede explotar la vulnerabilidad conectándose a uno de ellos.

Para determinar si hay un problema en su sistema, debe iniciar sesión en la máquina virtual sysadmin e ingresar el comando show interface en la consola. Si la interfaz secundaria está conectada (como en la respuesta a continuación), el enrutador es vulnerable.

sysadmin-vm:0_RSP1:eXR# show interface Tue Mar 19 19:32:00.839 UTC MgmtEth0/RSP1/0/0 Link encap: Ethernet HWaddr 08:96:ad:22:7a:31 inet addr: 192.168.0.1 UP RUNNING BROADCAST MULTICAST MTU:1500 Metric:1 RX packets: 14093 errors:0 dropped:1 overruns:0 frame:0 TX packets: 49 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: 867463 TX bytes: 6889 sysadmin-vm:0_RSP1:eXR# 

Los expertos de Cisco dicen que solo la plataforma ASR 9000 es vulnerable. Otras soluciones de la compañía que ejecutan Cisco IOS-XR 64 bit son estables. Al mismo tiempo, la compañía aún no ha registrado intentos de llevar a cabo un ataque de piratas informáticos utilizando CVE-2019-1710.

Como cerrarlo

Cisco ha publicado un parche que corrige CVE-2019-1710 como parte de las versiones 6.5.3 y 7.0.1 de IOS XR. La actualización está disponible de forma gratuita para todas las organizaciones con una licencia actualizada para el sistema operativo (y para aquellos que la compraron antes).

Hay una opción alternativa: puede recurrir a una solución alternativa que elimine por completo la vulnerabilidad. Primero debe conectarse a la máquina virtual de administración:

 RP/0/RSP1/CPU0:eXR#admin Tue Mar 12 22:46:37.110 UTC root connected from 127.0.0.1 using console on host 

Luego ejecute Bash y edite el archivo de configuración calvados_bootstrap.cfg:

 sysadmin-vm:0_RSP1:eXR# run bash Tue Mar 12 22:46:44.224 UTC bash-4.3# vi /etc/init.d/calvados_bootstrap.cfg 

En las siguientes dos líneas, debe eliminar el signo # y guardar el archivo.

 #CTRL_VRF=0 #MGMT_VRF=2 

Si la solución tiene dos sistemas RSP, entonces # debe eliminarse en la configuración de cada uno de ellos. Luego simplemente reinicie la máquina virtual:

 sysadmin-vm:0_RSP1:eXR# reload admin location 0/RSP1 Tue Mar 12 22:49:28.589 UTC Reload node ? [no,yes] yes result Admin VM graceful reload request on 0/RSP1 succeeded. sysadmin-vm:0_RSP1:eXR# RP/0/RSP1/CPU0:Mar 12 22:49:34.059 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :DECLARE :0/RSP1/CPU0: Confd is down RP/0/RSP1/CPU0:eXR# 

Tendrá que devolver el siguiente mensaje:

 RP/0/RSP1/CPU0:eXR#0/RSP1/ADMIN0:Mar 12 22:59:30.220 UTC: envmon[3680]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :Power Module redundancy lost :DECLARE :0: RP/0/RSP1/CPU0:Mar 12 22:59:33.708 UTC: rmf_svr[402]: %PKT_INFRA-FM-3-FAULT_MAJOR : ALARM_MAJOR :RP-RED-LOST-ADMINNR :CLEAR :0/RSP1/CPU0: 

¿Qué más parcheado?

En paralelo con el parche para CVE-2019-1710, el gigante de TI ha lanzado veinte parches más para vulnerabilidades menos críticas. Incluyó seis errores en el IAPP (Protocolo de punto de acceso intermedio), así como en la interfaz WLC (Controlador de LAN inalámbrica) y Cisco VCS Expressway.

La lista de productos con parches incluye: Servidores blade UCS serie B, Cisco Umbrella, DNA Center, servicio de sobres registrados, conector de directorio, Prime Network Registrar, etc. Puede encontrar una lista completa en el sitio web oficial .


Fotos - Mel Clark - PD

También a principios de mayo, los desarrolladores de la corporación cerraron otra vulnerabilidad ASR 9000 y Cisco IOS XR. Está asociado con la función PIM (Protocolo independiente de multidifusión), que resuelve el problema del enrutamiento de multidifusión. Un error (recibió el identificador CVE-2019-1712 ) permite que un atacante reinicie de forma remota un proceso PIM y realice un ataque DoS.

Además, los desarrolladores han publicado una serie de advertencias sobre vulnerabilidades previamente reparadas. Según los expertos en seguridad de la información, algunos de ellos son utilizados por el grupo de hackers Sea Turtle para sus ataques de DNS. Los ingenieros prometieron monitorear la situación y publicar nuevas actualizaciones.

---

ITGLOBAL.COM es un proveedor de nubes privadas e híbridas, así como otros servicios destinados a desarrollar la infraestructura de TI de nuestros clientes. Sobre qué escribimos en un blog corporativo:

• Cómo proteger su negocio de los troyanos ransomware
• ¿Por qué un cliente del proveedor de la nube debe conocer el nivel de confiabilidad del centro de datos?
• Vitaliy Gritsay: sobre la estrategia de desarrollo internacional ITGLOBAL.COM
• Cómo protegerse contra DDoS en el proveedor de la nube
• Almacenamiento AFA A300 de NetApp: especificaciones técnicas y vista interior