Riesgo: Alto

PLATAFORMAS

• Cisco IOS 12.2.0 (algunas versiones)

• Cisco IOS 12.3.0 (algunas versiones)

• Cisco IOS 12.4.0 (algunas versiones)

• Cisco IAD2430 Integrated Access Device

• Cisco IAD2431 Integrated Access Device

• Cisco IAD2432 Integrated Access Device

• Cisco MWR 1900 Mobile Wireless Edge Router Cisco MWR 1941 Mobile Wireless Edge Router Cisco VG224 Analog Phone Gateway

DESCRIPCIÓN

Cisco ha divulgado que algunos equipos con ciertas versiones de IOS se identifican erróneamente, asumiendo que soportan DOCSIS (Data Over Cable Service Interface Specification). De acuerdo al RFC2669 que rige el compliance con DOCSIS, para estos equipos Cisco habilita una comunidad "cable-docsis" con privilegios de lectura y escritura, cuando se activa el servicio SNMP. En estas condiciones, equipos que no soportan DOCSIS permiten acceso via snmp con una comunidad definida "en duro" en el sistema, con privilegios de lectura y escritura. Esta comunidad snmp no puede ser deshabilitada por si sola.

AMENAZA E IMPACTO

Un usuario sin autorización puede usar comandos snmp para leer y cambiar cualquier configuración del equipo CISCO afectado, permitiendo actividades  maliciosas como la divulgación de la configuración de las redes, la habilitación de accesos ilegales y la denegación de servicio. Adicionalmente, la amenaza aumenta considerando que snmp se comunica via UDP por lo que el spoofing de dirección IP es trivial.

• Upgrade de los sistemas afectados: Cisco ha liberado actualizaciones para sus sistemas IOS indicadas en el advisory: http://www.cisco.com/warp/public/707/cisco-sa-20060920-docsis.shtml. No olvide que la aplicación de cada una de las recomendaciones entregadas debe pasar por un proceso de validación y prueba en ambiente de testing o certificación, antes de ser aplicadas en ambiente de producción.
  

Adicionalmente, CISCO indica en su Advisory que se debe considerar la memoria disponible en los equipos antes de realizar el upgrade.

• Deshabilitar el servicio SNMP en los equipos que no lo requieran. No es posible cambiar el nombre de la comunidad o deshabilitar sus privilegios.

• Habilitar ACLs en los equipos, permitiendo el acceso a los servicios SNMP sólo desde los  equipos o redes confiables.

MAYOR INFORMACIÓN

http://www.securityfocus.com/archive/1/200609201307.docsis@psirt.cisco.com.com

http://www.cisco.com/warp/public/707/cisco-sa-20060920-docsis.shtml

INFORMACIÓN PARA CLIENTES RISK MANAGEMENT

Para clientes que tienen contratado el Servicio RISK MANAGEMENT, acceda al URL que se indica a continuación para determinar el nivel de riesgo de sus activos críticos:

Detalles:
https://srms.neosecure.cl/threats/threat_detail.exp?threat_id=1434

Correlación:
https://srms.neosecure.cl/threats/threat_panel.exp?threat_id=1434