Cisco lanza parches de seguridad contra nuevo ataque

Un nuevo ataque amenaza la VPN empresarial y podría permitir suplantación de redes y ataques Man-in-the-Middle

Cisco ha lanzado parches de seguridad para su ampliamente utilizado software de enrutador Internet Operating System (IOS) e Internet Operating System XE (IOS XE), ante un próximo anuncio de expertos en ciberseguridad que planean revelar una falla en el protocolo de intercambio de claves de Internet (IKE) utilizado para configurar VPN protegidas con IPSec.

La empresa de seguridad en redes lanzó los parches en el marco de un evento de ciberseguridad, donde los investigadores presentarán detalles sobre nuevas variantes de ataques a IPsec IKE que podrían amenazar el uso de VPN a gran escala, por ejemplo, por intercambios de información industrial y backhaul de operadores inalámbricos ejecutados en el kit de Cisco.

El ataque es posible debido a la reutilización de un par de claves en la primera y la segunda versión del protocolo de intercambio de claves IKE, IKEv1 e IKEv2, y permitiría a un atacante hacerse pasar por una red o realizar un ataque Man-in-the-Middle contra dos víctimas.

“Demostramos que la reutilización de un par de claves en diferentes versiones y modos de IKE puede provocar que un atacante eluda los procesos de autenticación entre protocolos, lo que permite la suplantación de un host o red víctima por parte de los atacantes”, explica el grupo de expertos en ciberseguridad. “Además, describimos un ataque de diccionario sin conexión contra los modos IKE basados en Pre Shared Key (PSK), cubriendo así todos los mecanismos de autenticación disponibles de IKE”.

Como señalan los expertos, aunque IKEv2 reemplazó a IKEv1, ambos pueden implementarse en todos los principales sistemas operativos y dispositivos de red, como firewalls. También encontraron las mismas fallas de IKE en equipos de los fabricantes competidores, como Huawei, Clavister y ZyXEL. Esto incluyó el firewall de la serie Secospace USG2000 de Huawei.

Acorde a expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética, junto con el parche de Cisco para la vulnerabilidad CVE-2018-0131 que afecta a IOS y su software IOS XE basado en Linux, Huawei, Clavister y ZyXEL han lanzado un nuevo firmware para evitar la explotación de la vulnerabilidad en sus respectivos desarrollos.

Cisco ha calificado el bug como un problema de gravedad media. El problema solo afecta a IOS, el software más ampliamente implementado para conmutadores y enrutadores de Cisco, y al software IOS XE cuando la opción “authentication rsa-encr” se encuentra habilitada.

“Una vulnerabilidad en la implementación de nonces cifrados con RSA en Cisco IOS Software y Cisco IOS XE Software podría permitir que un hacker sin autenticación obtenga de manear remota los nonces encriptados de una sesión de IKEv1”, explicó Cisco.

“La vulnerabilidad existe porque el software afectado responde incorrectamente a las fallas de descifrado. Un atacante podría explotar esta vulnerabilidad enviando cifrados especialmente elaborados a un dispositivo configurado con IKEv1 que utiliza nonces cifrados en RSA. Si la vulnerabilidad se explota exitosamente podría permitir al atacante obtener los nonces encriptados”. La empresa comenta que no se tiene registro de la explotación exitosa de esta vulnerabilidad para fines maliciosos.