RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

CAIS-ALR-28062001

Recentes vulnerabilidades em equipamentos Cisco

[CAIS, 28.06.2001, revisão 01]


O CAIS alerta que foram recentemente encontradas vulnerabilidades nos protocolos SSH e HTTP, implementados em alguns equipamentos Cisco.

a) Vulnerabilidades no SSH

Estas vulnerabilidades estão associadas ao serviço SSH. Por default, este serviço não vem habilitado, no entanto, ele é amplamente utilizado, pois provê acesso remoto aos equipamentos Cisco.

A exploração de tais vulnerabilidades por usuários maliciosos possibilita a inserção e execução de comandos arbitrários em uma sessão ssh pré-estabelecida. É possivel também obter o tamanho exato da senha usada durante a autenticação, o que evidentemente facilitaria muito ataques de força bruta.

Os equipamentos afetados incluem:

*Roteadores e switches rodando Cisco IOS com suporte a SSH (isto é, versões 12.0 e posteriores).

*Switches Catalyst 6000, rodando CatOS versão 6.2(0.110)

*Firewall Cisco, rodando PIX versão 5.2(5) e 5.3(1).

A tabela completa dos produtos/software afetados, bem como maiores informações a respeito destas vulnerabilidades, podem ser encontrados em:

http://www.cisco.com/warp/public/707/SSH-multiple-pub.html

Ressalta-se que até o presente momento, a única solução divulgada pela Cisco para sanar estes problemas tem sido a atualização do software (IOS, CatOS ou PIX). Não tem sido divulgada qualquer outra alternativa.

Assim sendo, caso seu equipamento se enquadre na relação supra citada, o CAIS recomenda fortemente que seja providenciada imediatamente a atualização do software junto ao Cisco Software Center. Antes de qualquer atualização, o CAIS lembra da importância de verificar os requisitos mínimos de memória para abrigar o novo software.

Caso a atualização junto à Cisco não seja possível, recomenda-se desabilitar o serviço ssh até surgir alguma forma de contornar o problema.

Em particular, para desabilitar o serviço nos roteadores Cisco basta usar a diretiva 'crypto key', da seguinte forma:

router# config t
router(config)# crypto key zeroize rsa

Isto removerá o par de chaves RSA e automaticamente desabilitará o serviço ssh.

b) Vulnerabilidade no HTTP

Roteadores e switches que tenham habilitada a diretiva "ip http server", isto é, que permitam gerenciamento via web, são potenciais víitimas de ataque. Usuários maliciosos podem explorar esta vulnerabilidade e, sob algumas circunstâncias, executar comandos arbitrários, inclusive comandos de 'usuário privilegiado' (analogamente ao usuário "root" do Unix).

Os sistemas afetados compreendem Cisco IOS versão 11.3 ou posterior, o que equivale a dizer a grande maioria de roteadores e switches Cisco.

Ainda não tem sido divulgada pela Cisco solução oficial a este problema, no entanto, é possível contorná-lo desabilitando o serviço HTTP ou usando alternativamente TACACS+ (ou Radius) para autenticação.

Embora as versões mais recentes de IOS venham com esta diretiva desabilitada por default, o CAIS recomenda fortemente verificar se no seu roteador (ou switch) esta diretiva encontra-se ativa e, caso afirmativo, que sejam tomadas providências imediatas. Para desabilitar o serviço http basta incluir a diretiva 'no ip http server', da seguinte forma:

router# config t
router(config)# no ip http server

Maiores detalhes sobre esta recente vulnerabilidade podem ser encontrados em:

http://www.cisco.com/warp/public/707/IOS-httplevel-pub.html

O CAIS encontra-se a disposição para esclarecimentos.



Centro de Atendimento a Incidentes de Segurança

Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais