Los fallos afectan a una herramienta clave parra administrar nuestra plataforma de red y los switches.
El código de explotación de prueba de concepto se ha publicado para fallos críticos que afectarían a la herramienta del Administrador de red del centro de datos de Cisco (DCNM) que sirve para administrar las plataformas en sí y los switches de red.
Estos son los fallos de Cisco
Las tres vulnerabilidades criticas en cuestión (CVE-2019-15975, CVE-2019-15976 y CVE-2019-1977) impactan en el citado DCNM, una plataforma de administración de los centros de datos de Cisco que ejecutan el NX-OS de Cisco, el Sistema Operativo de red usado por los switches Nexus-Cisco de área de almacenamiento Fibre Channel MDS.
Estos fallos en principio fueron parcheados ya el día 3 de enero y podrían permitir que un atacante remoto no autenticado omita la autentificación endpoint y ejecute acciones arbitrarias con privilegios adminsitrativos en dispositivos específicos.
El investigador de seguridad que descubrió inicialmente estos fallos, Steven Seeley, lanzó la prueba de concepto (PoC) al público para los fallos.
«En esta publicación comparto 3 cadenas de exploit completas y múltiples originarias que pueden usarse para comprometer las diferentes instalaciones y configuraciones del producto Cisco DCNM para lograr la ejecución remota de código no autenticada como SYSTEM / root«
«En la tercera cadena, yo uso la clase java.lang.InheritableThreadLocal para realizar una copia superficial y así obtener acceso a una sesión válida.»
Los defectos
Dos de los defectos (75 y 76) son vulnerabilidades de omisión de autenticación en los endpoint API REST y SOAP API para Cisco DCNM. Representational State Transfer (REST) es un estilo de arquitectura para diseñar aplicaciones en red, de acuerdo con RestFulApi.net, mientras que Simple Object Access Protocol (SOAP) es un sistema de protocolo de comunicación estándar que permite que los procesos que utilizan diferentes sistemas operativos se comuniquen a través de HTTP y su XML, según una descripción de DZone. El fallo se debe específicamente a la existencia de una clave de cifrado estática compartida entre las instalaciones REST API y SOAP API.
Cisco describe el tercer error (77) como «vulnerabilidad de omisión de autenticación de administrador de red de centro de datos». Este dallo existe en la interfaz de administración basada en web del DCNM, lo que permite que un atacante remoto no autenticado evite la autenticación en un dispositivo afectado.
PoC Exploit
Seeley dijo que fue capaz de explotar el fallo al enfocarse en dos configuraciones distintas de DCNM «porque algunas rutas de código y técnicas de explotación eran específicas de la plataforma». Estos fueron el instalador DCNM de Cisco para Windows y el dispositivo virtual ISO DCNM para servidores VMWare.
Seeley dijo que pudo controlar todos los elementos para forjar su propio token y luego usar una clave codificada para generar un token de inicio de sesión único (ssoToken), que le permitió omitir la autenticación.
A partir de aí, podría «enviar una solicitud SOAP al punto final / DbAdminWSService / DbAdminWS y agregar un usuario administrador global que nos daría acceso a todas las interfaces».
Con el código de explotación PoC ahora disponible, Cisco insta a los clientes a actualizar. El gigante de redes lanzó actualizaciones de software parcheando las vulnerabilidades a principios de este mes.
«El equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) es consciente de que el código de explotación de prueba de concepto está disponible para las vulnerabilidades que se describen en este aviso.»