Специалисты Embedi обнаружили уязвимость в составе Cisco IOS Software и Cisco IOS XE Software, из-за которой коммутаторы производителя уязвимы перед неаутентифицированными RCE-атаками. Уязвимость не имеет ничего общего с той, котоую, практически одновременно, обнаружили специалисты Cisco Talos.
Уязвимость получила идентификатор CVE-2018-0171 и набрала 9,8 балла по шкале CVSS. Проблема связана с некорректной валидацией пакетов в клиенте Cisco Smart Install (SMI). Так как разработчики Cisco уже выпустили патчи для обнаруженного бага, исследователи опубликовали не только описание проблемы, но и proof-of-concept эксплоит.
Для эксплуатации уязвимости атакующему нужно обратиться к TCP-порту 4786, который открыт по умолчанию. Эксперты объясняют, что таким образом можно спровоцировать переполнение буфера функции smi_ibc_handle_ibd_init_discovery_msg. Дело в том, что объем данных, которые копируются в ограниченный по размеру буфер, не проверяется, поэтому данные, полученные напрямую от сетевого пакета атакующего, провоцируют срабатывание бага. Сообщается, что проблема может использоваться и в качестве DoS-атаки, уводя уязвимые устройства в бесконечный цикл перезагрузок.
Аналитики Embedi предупредили, что в общей сложности им удалось обнаружить в интернете более 8,5 миллионов устройств с открытым портом 4786, и патчи не установлены примерно на 250 000 из них.
Исследователи тестировали уязвимость на устройствах Catalyst 4500 Supervisor Engine, а также коммутаторах серий Cisco Catalyst 3850 и Cisco Catalyst 2960. Но специалисты предупреждают, что в теории уязвимыми являются все устройства, работающие со Smart Install, а именно:
Кроме того, исследователи опубликовали два видеоролика, в которых наглядно демонстрируют атаку на CVE-2018-0171 в жизни. В первом ролике эксперты Embedi атакуют Cisco Catalyst 2960, меняют пароль и получают доступ к режиму EXEC.
Второе видео демонстрирует, как исследователи перехватывают трафик между уязвимым коммутатором, подключенными к нему устройствами и интернетом.