300 switch-modellen van Cisco kwetsbaar voor CIA-exploit

Cisco waarschuwt dat ruim 300 modellen switches van het bedrijf kwetsbaar zijn voor een exploit die is opgedoken in de Vault 7-documenten die WikiLeaks eerder deze maand naar buiten heeft gebracht. Het gaat voornamelijk om producten uit de Catalyst- en Industrial Ethernet-lijn van het product. De Nexus datacenterswitches komen niet op de lijst voor.

De kwetsbaarheid zit in de wijze waarop de besturingssystemen Cisco IOS en Cisco IOS XE Cluster Management Protocol (CMP) code verwerken. CMP is code die wordt gebruikt om clusters van switches te beheren en maakt gebruik van het Telnet protocol om communicatie tussen switches in hetzelfde cluster mogelijk te maken. De CMP-functies zijn echter niet beperkt tot lokaal netwerkverkeer tussen switches in een cluster. Dit betekent dat indien Telnet is ingeschakeld de switches door aanvallers via Telnet kunnen worden benaderd.

Willekeurige code uitvoeren

Cisco waarschuwt Cisco dat aanvallers de kwetsbaarheid kunnen uitbuiten door via Telnet malafide CMP-specifieke Telnet-opties te versturen, wat hen in staat stelt willekeurige code uit te voeren op de switches. In theorie kunnen aanvallers hierdoor de controle over een switch volledig overnemen en het apparaat onaangekondigd laten herstarten.

Op het moment van schrijven is er geen update beschikbaar die de kwetsbaarheid verhelpt. Cisco adviseert gebruikers van de getroffen switches daarom het Telnet-protocol uit te schakelen om misbruik van de kwetsbaarheid te voorkomen. Het bedrijf werkt aan een update die de kwetsbaarheid definitief verhelpt. Een overzicht van alle getroffen switches is hier te vinden.