Hace unos meses se descubrió que la NSA tenía exploits funcionales para vulnerar un equipo de Cisco y hacerse con el control del mismo. Hacerse con el control de un firewall significa poder acceder a la red interna sin impedimentos. Cisco ya solucionó esta vulnerabilidad llamada ExtraBacon, pero ahora ha descubierto un nuevo exploit 0-day que han dado el nombre de Benigncertain, y que también afecta a sus cortafuegos empresariales.
Esta nueva vulnerabilidad 0-day llamada Benigncertain afecta a equipos de Cisco que utilicen sistema operativo IOS, IOS XE y también IOS XR, por lo que los administradores de redes tendrán que echar unas horas extra aplicando los parches que la compañía ha lanzado para solucionar los problemas.
¿Qué hace exactamente la vulnerabilidad Beningcertain?
Esta vulnerabilidad está catalogada como CVE-2016-6415, y el problema reside en el procesado de los paquetes IKEv1 de las VPN IPsec. El fallo afecta a una gran cantidad de los routers del fabricante (que tienen el sistema operativo Cisco IOS), como también todos los Cisco PIX Firewall.
El protocolo IKE es utilizado para establecer una Asociación de Seguridad (SA) en el protocolo IPsec, por lo que es el protocolo base para lograr la conexión segura punto a punto. IPsec es una de las VPN más utilizadas, sobre todo en empresas, por lo que este fallo de seguridad es fundamental que sea parcheado cuanto antes.
Un usuario malintencionado podría utilizar esta vulnerabilidad de manera remota fácilmente, podría recuperar contenido de la memoria del tráfico y también obtener información crítica, como las claves privadas RSA, además también podría averiguar la configuración que han aplicado enviando paquetes IKEv1 especialmente diseñados para los dispositivos afectados.
Equipos de Cisco afectados
Todos los productos de Cisco con sistema operativo IOS, IOS XE y IOS XR que utilicen IKEv1 en las comunicaciones con IPsec son vulnerables. También son vulnerables el sistema Cisco IOS y Cisco IOS XE si tienen configurado la utilización del protocolo IKEv1 y IKEv2, ya que utilizan ambos protocolos y el primero es el vulnerable. Respecto a los Firewall Cisco PIX, dejaron de tener soporte desde el año 2009, pero las versiones 7.0 y posteriores no están afectadas por la vulnerabilidad, no obstante todas las versiones 6.x y anteriores sí lo están.
La compañía ha confirmado que esta vulnerabilidad se está explotando actualmente, por lo que es crítico actualizar los sistemas operativos con los parches correspondientes cuanto antes, pero aún no hay solución a este fallo de seguridad por parte de Cisco. Si tu equipo Cisco aún no tiene un parche oficial, es recomendable configurar correctamente el IDS y IPS de la organización para detectar y parar estos ataques malintencionados.
Os recomendamos acceder al aviso de seguridad de Cisco donde encontraréis toda la información sobre este grave fallo de seguridad.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
