TLP: White
NIVEL DE RIESGO – CVSS v3.1: 5.3 [Medio]
Acción Requerida: Aplicar las actualizaciones de seguridad que corrigen las vulnerabilidades.
Vector de ataque: Red.
Impacto: DoS reflexivo, perdida de información y omisión de los controles de acceso a la red.

Descripción

Cisco ha solucionado una falla en su software NX-OS, el sistema operativo de red utilizado por los switches Ethernet de la serie Nexus de Cisco. Esta falla, de ser aprovechada, podría permitir que un usuario remoto no autenticado omita las listas de control de acceso de entrada (ACL) configuradas en los dispositivos de Nexus afectados, e inicie ataques de denegación de servicio (DoS) en los dispositivos.

La vulnerabilidad identificada como CVE-2020-10136 proviene de la pila de red del software NX-OS, específicamente existe en un protocolo de encapsulamiento llamado “IP-in-IP”, el cual permite que los paquetes IP se encapsulen dentro de otro paquete IP. El protocolo afectado acepta paquetes de cualquier fuente, a cualquier destino sin una configuración explicita entre las direcciones IP de origen y de destino.

El aprovechamiento exitoso podría hacer que el dispositivo afectado desencapsule inesperadamente un paquete “IP-in-IP”, y reenvíe el paquete IP interno, esto puede provocar que los paquetes IP omitan las ACL de entrada configuradas en el dispositivo u otras medidas de seguridad definidos en otra parte de la red. Además, bajo ciertas condiciones, los paquetes diseñados podrían causar que el proceso de pila de red se bloquee y se reinicie varias veces, lo que finalmente conduciría a una denegación de servicio para los dispositivos afectados

Prueba de Concepto

MNEMO-CERT ha identificado una PoC que permite verificar si el dispositivo admite la encapsulación IP-in-IP predeterminada desde fuentes arbitrarias hasta destinos arbitrarios. El uso de este código requiere al menos dos dispositivos más con direcciones IP distintas. La prueba en modo “bypass” requiere que el dispositivo vulnerable sea “dual-homed” para poder verificar el enrutamiento a la red exterior desde una interfaz de red externa.

Esta PoC se encuentra disponible en la siguiente URL:

Nivel de riesgo

  • CVSS v3.1: 5.3 [Medio]

Sistemas/tecnologías afectadas

  • Nexus 1000 Virtual Edge for VMware vSphere
  • Nexus 1000v Switch for Microsoft Hyper-V
  • Nexus 1000v Switch for VMware vSphere
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Swiches in standalone NX-OS mode
  • UCS 6200 Series Fabric Interconnects
  • UCS 6300 Series Fabric Interconnects

Medidas de contención

  • Deshabilitar IP-in-IP en su configuración.

Medidas de erradicación

  • Implementar la última actualización de seguridad liberada por el fabricante

También, se insta a los fabricantes de dispositivos a deshabilitar IP-in-IP en su configuración predeterminada y aconsejar explícitamente a sus clientes que configuren IP-in-IP, solo en entornos cuando sea necesario.

Referencias