La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha revelado que los actores de amenazas están abusando del sistema Cisco Smart Install heredado (SMI) con el objetivo de acceder a datos confidenciales.
La agencia dicho Se ha visto a adversarios «adquirir archivos de configuración del sistema aprovechando los protocolos o el software disponibles en los dispositivos, como abusando de la función heredada Cisco Smart Install».
También afirmó que sigue observando el uso de tipos de contraseñas débiles en los dispositivos de red de Cisco, lo que los expone a ataques de descifrado de contraseñas. Los tipos de contraseñas se refieren a algoritmos que se utilizan para proteger la contraseña de un dispositivo Cisco dentro de un archivo de configuración del sistema.
Los actores de amenazas que logren acceder al dispositivo de esta manera podrán acceder fácilmente a los archivos de configuración del sistema, lo que facilitaría un compromiso más profundo de las redes de las víctimas.
«Las organizaciones deben garantizar que todas las contraseñas en los dispositivos de red se almacenen utilizando un nivel de protección suficiente», dijo CISA, y agregó que recomienda «contraseña tipo 8 Protección para todos los dispositivos Cisco para proteger las contraseñas dentro de los archivos de configuración».
También insta a las empresas a revisar la política de la Agencia de Seguridad Nacional (NSA). Aviso de uso indebido del protocolo Smart Install y Guía de seguridad de la infraestructura de red para obtener orientación sobre la configuración.
Otras prácticas recomendadas incluyen el uso de un algoritmo hash fuerte para almacenar contraseñas, evitar la reutilización de contraseñas, asignar contraseñas fuertes y complejas y abstenerse de usar cuentas grupales que no brinden responsabilidad.
El desarrollo se produce cuando Cisco prevenido de la disponibilidad pública de un código de prueba de concepto (PoC) para CVE-2024-20419 (puntaje CVSS: 10.0), una falla crítica que afecta a Smart Software Manager On-Prem (Cisco SSM On-Prem) que podría permitir a un atacante remoto no autenticado cambiar la contraseña de cualquier usuario.
El principal fabricante de equipos de red también ha alertado sobre múltiples deficiencias críticas (CVE-2024-20450, CVE-2024-20452 y CVE-2024-20454, puntaje CVSS: 9.8) en los teléfonos IP de las series SPA300 y SPA500 para pequeñas empresas que podrían permitir a un atacante ejecutar comandos arbitrarios en el sistema operativo subyacente o causar una condición de denegación de servicio (DoS).
«Estas vulnerabilidades existen porque los paquetes HTTP entrantes no se verifican adecuadamente para detectar errores, lo que podría provocar un desbordamiento del búfer», dijo Cisco. dicho en un boletín publicado el 7 de agosto de 2024.
«Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP diseñada a un dispositivo afectado. Si lo logra, podría permitirle desbordar un búfer interno y ejecutar comandos arbitrarios en el nivel de privilegios de root».
La compañía dijo que no tiene la intención de lanzar actualizaciones de software para solucionar las fallas, ya que los dispositivos han alcanzado el estado de fin de vida útil (EoL), lo que requiere que los usuarios realicen la transición a modelos más nuevos.