El error CVE-2019-12643 recibió la calificación de gravedad más alta posible.
Se ha encontrado una vulnerabilidad crítica de omisión de autenticación remota, con el nivel de gravedad más alto posible, 10 de 10 en la escala CvSS, en el contenedor de servicios virtuales API REST de Cisco, para el software Cisco IOS XE.
El error (CVE-2019-12643) afecta el siguiente hardware si se ejecuta la interfaz REST API: enrutadores de servicios integrados de la serie Cisco 4000; Routers de servicios de agregación Cisco ASR serie 1000; Cisco Cloud Services Router 1000V Series; y enrutadores virtuales de servicios integrados de Cisco.
Si se explota, podría permitir que un atacante remoto no autenticado omita la autenticación en un dispositivo Cisco IOS XE administrado, y obtenga el control total de la misma. La ejecución de código y otros ataques son posibles.
2751/5000″La vulnerabilidad se debe a una verificación incorrecta realizada por el área de código que administra el servicio de autenticación API REST”, explicó Cisco en su aviso. “Una explotación exitosa podría permitir al atacante obtener el identificador de token de un usuario autenticado. Este token-id podría usarse para omitir la autenticación y ejecutar acciones privilegiadas a través de la interfaz del contenedor de servicio virtual REST API en el dispositivo Cisco IOS XE afectado “.
Un exploit sería una cuestión de enviar solicitudes HTTP maliciosas al dispositivo objetivo, según el gigante del software, que encontró el error a través de pruebas internas.
La API REST es esencialmente una máquina virtual (VM) que se ejecuta en una de las plataformas de hardware mencionadas anteriormente:
«El contenedor REST API es una aplicación que proporciona un conjunto de API RESTful como método alternativo para administrar dispositivos que ejecutan el software Cisco IOS-XE», explicó el investigador de seguridad de Cisco Eugenio Iavarone, en una publicación de blog. «Se encuentra en un contenedor de servicios virtuales, que es un entorno virtualizado que se ejecuta en el dispositivo host. También se conoce como máquina virtual (VM), servicio virtual o contenedor. El servicio virtual REST API no es una capacidad nativa dentro de Cisco IOS XE, sino que se entrega como un archivo de paquete de aplicación virtual abierta (OVA)».
La buena noticia es que la interfaz REST API no está habilitada de manera predeterminada y debe instalarse y activarse por separado en dispositivos IOS XE.
«Si bien esta es una vulnerabilidad grave que los clientes deben evaluar cuidadosamente para determinar la exposición y el impacto en su entorno, el alcance de la base de clientes Cisco afectada está contenido por el número limitado de plataformas de hardware de Cisco que admiten la función y el hecho de que la función afectada es no está habilitado por defecto», escribió Iavarone.
Para aquellas compañías que han habilitado la API REST, Cisco ha parcheado el error en la última versión del software, y ha lanzado una versión reforzada del software Cisco IOS XE que impide la instalación o activación de un contenedor vulnerable en un dispositivo en el futuro.
«Si el dispositivo ya estaba configurado con un contenedor vulnerable activo, la actualización del software IOS XE desactivará el contenedor, haciendo que el dispositivo no sea vulnerable», señaló la empresa. «En ese caso, para restaurar la funcionalidad de la API REST, los clientes deben actualizar el contenedor del servicio virtual de la API REST de Cisco a una versión de software fija».
Cisco también emitió una serie de otros parches esta semana, incluidos varios defectos de denegación de servicio de gravedad media y alta en el software Cisco NX-OS, un error de nivel medio en el dispositivo de seguridad adaptable de Cisco; y una vulnerabilidad de escalada de privilegios de raíz de alta gravedad en la interconexión de estructura de Cisco Unified Computing System.
Fuente: https://threatpost.com/critical-cisco-bug-remote-takeover-routers/147826/