Cisco ha confirmado que el malware publicado por el grupo Shadow Brokers efectivamente es capaz de explotar diversas vulnerabilidades en sus dispositivos. Una de estas vulnerabilidades ya fue corregida en 2011 pero otra de ellas era completamente desconocida para Cisco y permitiría a un atacante monitorizar o tomar el control de dispositivos Cisco ASA.

cisco shadowbroker exploits

Se sigue investigando el material publicado por el grupo Shadow Brokers, con aparente origen en el hackeo de un servidor de malware utilizado por un grupo al parecer relacionado con la NSA llamado Equation group. Este grupo publicó una pequeña muestra del malware de manera abierta, mientras que mantiene en puja el resto del material.

En base a la investigación sobre este material público se localizaron tres exploits dirigidos contra productos Cisco; Cisco ASA, Cisco PIX, y Cisco Firewall Services Module. La efectividad de los mismos se ha confirmado por parte del Cisco Product Security Incident Response Team (PSIRT). Esta investigación además ha permitido identificar las 2 vulnerabilidades contra las cuales van enfocados estos exploits.

Bajo los nombre de EXTRABACON, EPICBANANA y JETPLOW estos pueden ser los primeros de una larga lista de exploits hasta ahora desconocidos que afecten a productos clave dentro de cualquier red, como no se podía esperar menos del arsenal del Quantum Group...

Exploit ExtraBacon - Vulnerabilidad de ejecución remota de código en SNMP (Información de Cisco

La primera vulnerabilidad la encontramos en el protocolo SNMP de los Cisco ASA. Debido a un buffer overflow un atacante mediante el envío de determinados paquetes podría explotar esta vulnerabilidad y conseguir acceso para ejecutar código remotamente y por tanto tomar control del dispositivo o provocar una recarga. Los modelos afectados son los siguientes:

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco PIX Firewalls
  • Cisco Firewall Services Module (FWSM)

Para explotar correctamente esta vulnerabilidad el atacante debería saber de antemano las community strings establecidas para restringir tanto el acceso de solo lectura o de lectura/escritura a los datos SNMP del dispositivo.

Exploit EPICBANANA - Vulnerabilidad de ejecución de código arbitrario en CLI (Información de Cisco)

El exploit EPICBANANA utiliza una vulnerabilidad ya documentada en 2011 que permitiría a un atacante ejecutar un ataque de DoS o ejecutar código a través de la ejecución de una serie de comandos en el dispositivo. Para llevar a cabo esto el atacante debe saber la contraseña SSH o Telnet. Al parecer este exploit utiliza un módulo de Python llamado Pexpect que permite ejecutar procesos hijos y controlarlos de manera automática.

Cisco ha vuelto a lanzar el aviso sobre esta vulnerabilidad para aumentar su visibilidad y que todos sus clientes se aseguren de cerrar esta vulnerabilidad.

Exploit JETPLOW

JETPLOW es una variante persistente de EPICBANANA que puede ser combatida tanto con Cisco Secure Boot como como a través de la firma digital del sofware Cisco ASA mediante clave pública lo que asegura que el sofware en ejecución no haya sido modificado y a la vez trate de hacerse pasar como software original.

En las últimas horas otra compañía, Fortinet, se ha sumado también con un aviso sobre una vulnerabilidad en sus FortiGate.Sin duda se espera que en los próximos días a medida que se avance sobre el material disponible se identifiquen otras vulnerabilidades en productos clave para la seguridad de muchas empresas y que dejan en entredicho la seguridad de estas redes.

Mientras tanto sigue en marcha la puja por el material encriptado de Shadow Brokers...

Fuente Cisco