Smart Install åpner TCP-port 4786 som standard. Det er det mange nettverksadministratorer som antakeligvis ikke har fått med seg, hvis vi skal tro sikkerhetsselskapet Embedi. Illustrasjonsbilde.
Smart Install åpner TCP-port 4786 som standard. Det er det mange nettverksadministratorer som antakeligvis ikke har fått med seg, hvis vi skal tro sikkerhetsselskapet Embedi. Illustrasjonsbilde. (Foto: Cisco)

Kritisk sårbarhet funnet i millioner av Cisco-svitsjer

– Hvis denne porten er åpen, så kan du angripes.

Cisco har utgitt en pakke sikkerhetsoppdateringer som fjerner et tjuetalls sårbarheter i selskapets svitsjer. Rettere sagt i den underliggende programvaren Cisco IOS og IOS XE.

Det inkluderer tre kritiske sårbarheter, som en angriper kan misbruke til å foreta tjenestenektangrep og fjernangrep, herunder kjøring av vilkårlig kode og hacking av nettverksutstyr over det åpne internettet.

Mest kritisk er trolig feilen med løpenummer CVE-2018-0171 som berører Smart Install, melder Zdnet. Det aktuelle programmet er en klient Cisco tilbyr for rask utrulling og konfigurering av nettverksutstyr.

Feilen skyldes manglende validering av inndata over TCP-port 4786. En angriper kan ifølge Cisco utnytte dette ved å sende spesielt utformede datapakker.

Fant 8,5 millioner sårbare enheter

Det israelske sikkerhetsselskapet Embedi står bak funnet, som førte dem til topps i hackerkonkurransen GeekPwn i Hongkong i mai i fjor. Etter avtale med leverandøren har de ventet til nå med å røpe detaljene.

I en lengre teknisk redegjørelse publisert i helgen deler de konseptbevis og angrepskode, som gir full kontroll på det berørte utstyret.

Sårbart utstyr

Ifølge selskapet bak funnet er flere millioner svitsjer og rutere sårbare for CVE-2018-0171 med nevnte feil i Smart Install.

De har laget en liste over modeller de mener potensielt er sårbare. Dette er noen av dem:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Selskapet trodde først at sårbarheten bare lot seg utnytte lokalt i et nettverk, men det viste seg å ikke stemme.

En rask skanning av internett har ifølge Embedi avdekket en kvart million svitsjer og rutere som er i faresonen, og samlet 8,5 millioner enheter som har den sårbare porten åpen.

– Hvis du har nettverksutstyr med en åpen tcp 4786-port, så er du sårbar, lyder advarselen.

Nok en bakdør

Blant de øvrige kritiske sårbarhetene er det påvist en ny udokumentert konto med et standard brukernavn og passord, som lar en angriper logge seg inn på nettverksutstyr.

CVE-2018-0150 føyer seg inn i rekken av lignende funn. Denne gang er det utstyr med programvaren Cisco IOS XE version 16.x som er berørt.

Den tredje kritiske feilen Cisco retter i slengen er påvist i en del av IOS og IOS XE som håndterer såkalt servicekvalitet eller QoS (Quality of Service). CVE-2018-0151 kan også gi full kontroll over utstyret via fjernangrep.

Alle de nevnte sårbarhetene er av Cisco gitt en poengsum på 9,8 av 10 i Common Vulnerability Scoring System (CVSS). 

Kommentarer (6)

Kommentarer (6)
Til toppen