Cisco adverte: Esses switches Nexus foram atingidos por uma falha grave de segurança

A Cisco alertou os clientes com switches Nexus que executam o software NX-OS para instalar atualizações para solucionar uma falha grave que permite que um invasor remoto ignore o controle de acesso à rede e inicie tráfego malicioso da Internet em redes internas.

O nexo troca Cisco

Esse erro, chamado CVE-2020-10136, pode ser usado para causar negação de serviço nos comutadores Nexus afetados ou iniciar o tráfego da máquina do invasor em uma rede de destino depois de ignorar as Listas de controle de acesso ( ACLs) para filtrar o tráfego de entrada na Internet.

Muitos dos switches Nexus amplamente usados ​​da Cisco apresentam um mau funcionamento que faz com que o dispositivo descompacte inesperadamente e processe IPs em pacotes IP destinados a um endereço IP configurado localmente, mesmo quando não há configuração de túnel.

A especificação IETF RFC 2003 para o protocolo de encapsulamento IP-in-IP permite que pacotes IP sejam encapsulados em outros pacotes IP, com o movimento permanecendo descriptografado o tempo todo.

Vijay Sarvepalli, do CERT Coordination Center (CERT / CC), explica que o protocolo desdobra o pacote IP interno e o promove por meio de tabelas de roteamento IP, mas um dispositivo se torna vulnerável se receber esses pacotes de qualquer lugar sem restrições.

“Um dispositivo IP-in-IP é considerado vulnerável se receber pacotes IP-in-IP de qualquer fonte em qualquer destino sem configuração explícita entre o endereço IP de origem e destino especificado”, escreve Sarvepalli.

E este é o problema que afeta muitos dispositivos Cisco Nexus NX-OS que oferecem suporte ao encapsulamento de pacotes IP-in-IP: eles não são destinados à descompressão e processamento de nenhum IP em movimento IP na interface de túnel de um dispositivo, a menos que seja configurado manualmente com ACL.

“Uma operação bem-sucedida pode causar uma desmontagem inesperada do dispositivo IP no pacote IP e a promoção do pacote IP interno. Como resultado, os pacotes IP podem ignorar as listas de controle de acesso (ACLs) configuradas no dispositivo afetado ou outros limites de segurança definidos em outras partes da rede ”, observa Cisco.

“Isso pode resultar no pacote IP do passageiro ignorando a filtragem ACL desejada. Isso também pode permitir que o pacote IP do passageiro ignore outros limites de segurança que podem ser definidos na rota de rede para o dispositivo afetado na presença de técnicas de filtragem de rede que apenas inspecionam o cabeçalho IP externo e não o pacote IP interno. “

Além disso, um invasor que explora repetidamente o erro pode fazer com que a pilha de rede do dispositivo seja interrompida, resultando em negação de serviço no comutador afetado.

A Cisco atribuiu ao erro uma magnitude de 8.6 / 10.

O CERT / CC relata que o erro pode levar a um ataque reflexo de negação de serviço, vazamento de informações e desvio de controle de rede.

Para aqueles que não conseguem instalar atualizações imediatamente, Sarvepalli, do CERT / CC, diz que os clientes afetados podem bloquear pacotes IP-in-IP, filtrando pacotes de protocolo IP 4 no roteador de atualização ou em outro dispositivo. Sarvepalli ressalta que essa filtragem é para o valor do cabeçalho do protocolo IP 4, diferentemente do IPv4.

A Cisco também sugere essa medida, mas primeiro aconselha os clientes a usar “listas de controle de acesso à infraestrutura (iACL) para permitir apenas o gerenciamento e o controle estritamente necessários do tráfego de aeronaves destinado ao dispositivo afetado”.

Yannay Livneh, o pesquisador de segurança que relatou o erro à Cisco, postou no GitHub o código de prova de conceito para os administradores usarem para verificar se eles têm dispositivos Nexus vulneráveis ​​na rede. O código permite que os administradores verifiquem se o dispositivo suporta criptografia IP-in-IP de fontes arbitrárias para destinos arbitrários.

No entanto, a Cisco observa que não notou nenhuma atividade maliciosa que explora esse defeito.

Os comutadores Nexus afetados são os seguintes:

  • Borda virtual do Nexus 1000 para VMware vSphere
  • Switch Nexus 1000V para Microsoft Hyper-V
  • Switch Nexus 1000V para VMware vSphere
  • Switches da série 3000 do Nexus
  • Switches de plataforma do Nexus 5500
  • Switches de plataforma Nexus 5600
  • Switches da série 6000 do nexo
  • Switches da série Nexus 7000
  • Switches da série Nexus 9000 no modo NX-OS
  • Interconexões de malha da série UCS 6200
  • Interconexões de malha da série UCS 6300