Múltiples vulnerabilidades en productos Rockwell Automation
Dispositivos con versiones vulnerables de Cisco IOS o IOX XE:
- Switches Ethernet gestionados Allen-Bradley Stratix 8300 Industrial, versiones 15.2(4a)EA5 y anteriores.
- Switches Allen-Bradley Stratix 5400 Industrial, versiones 15.2(6)E0a y anteriores.
- Switches Allen-Bradley Stratix 5410 Industrial Distribution, versiones 15.2(6)E0a y anteriores
- Switches Ethernet gestionados Allen-Bradley Stratix 5700 Industrial, versiones 15.2(6)E0a y anteriores
- Switches Ethernet gestionados Allen-Bradley Stratix 8000 Modular, versiones 15.2(6)E0a y anteriores
- Switches industriales gestionados para entornos extremos Allen-Bradley ArmorStratix 5700 Industrial, versiones 15.2(6)E0a y anteriores
- Router Allen-Bradley Stratix 5900 Services, versión 15.6.3M1 y anteriores.
Rockwell Automation ha reportado estas vulnerabilidades al NCCIC a través de la publicación semestral de “Cisco IOS and IOS XE Software Security Advisory Bundled Publication”. Un atacante remoto podría aprovechar estos tipos de vulnerabilidades: parámetros de entrada inválidos, gestión incorrecta de errores, incorrecta restricción de operaciones dentro de los límites de la memoria del buffer o formato de cadenas controladas externamente para lograr pérdidas de disponibilidad, confidencialidad y/o integridad causadas por un agotamiento de recursos en la memoria, reinicio de módulos de comunicación, información corrupta y/o exposición de la información.
Cisco ha publicado reglas Snort en el siguiente enlace:
https://www.cisco.com/web/software/286271056/117258/sf-rules-2018-03-29-new.html
Estas reglas mitigan las vulnerabilidades asociadas a los siguientes códigos:
- CVE-2018-0171 – Regla Snort número 46096 y 46097
- CVE-2018-0156 – Regla Snort número 41725
- CVE-2018-0174 – Regla Snort número 46120
- CVE-2018-0172 – Regla Snort número 46104
- CVE-2018-0173 – Regla Snort número 46119
- CVE-2018-0158 – Regla Snort número 46110
Cisco añade las siguientes notas asociadas a las vulnerabilidades (CVE-2018-0171 y CVE-2018-0156):
- La funcionalidad Smart Install viene desactivada por configuración expresa, sin embargo, la actualización de los switches, que no su reinstalación, podría habilitar esta opción.
- Deshabilitar la funcionalidad Smart Install con el comando de configuración "no vstack "si no es necesario o una vez realizada la instalación.
- Los usuarios que utilicen la funcionalidad Smart Install (y deben dejarla deshabilitada), pueden usar ACLs para bloquear el tráfico entrante en el puerto 4786/tcp.
CVE-2018-0155: Los administradores que no utilicen la funcionalidad BFD en sus entornos pueden desactivar dicha funcionalidad con su correspondiente comando "bfd" para evitar posibles explotaciones de la vulnerabilidad.
Por otro lado, los administradores que utilicen esta funcionalidad, pueden implementar políticas de control (CoPP) para permitir sólo el procesamiento de paquetes BFD conocidos y limitar así la exposición del producto afectado.
Las vulnerabilidades asociadas a los códigos CVE-2018-0167 y CVE-2018-0175 no tienen formas de mitigación específicas. Se aconseja visitar el siguiente enlace del fabricante para más información:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-lldp
Por su parte, el fabricante Rockwell Automation recomienda seguir las siguientes medidas preventivas de seguridad y buenas prácticas:
- Ayudar a minimizar la exposición de todos los dispositivos y/o sistemas de control tras cortafuegos y confirmar que los dispositivos y/o sistemas no poseen acceso a Internet.
- Separar las redes de control y los dispositivos industriales de las redes corporativas.
Cuando sea necesario un acceso remoto, utilizar mecanismos de seguridad como Virtual Private Networks (VPNs).
- Validación de datos de entrada inadecuada: Una vulnerabilidad en la funcionalidad Smart Install del Software Cisco IOS y Cisco IOS XE podría permitir a un atacante remoto sin autenticación desencadenar un reinicio en un dispositivo afectado, dando como resultado una condición de denegación de servicio (DoS) o la ejecución de código arbitrario en el dispositivo afectado. La vulnerabilidad se debe a una validación incorrecta de los datos del paquete. Un atacante podría explotar esta vulnerabilidad enviando un paquete de mensaje Smart Install a un dispositivo afectado en el puerto TCP 4786. Un ataque exitoso podría permitir al atacante causar un desbordamiento de búfer en el dispositivo afectado. Se ha asignado el identificador CVE-2018-0171 para esta vulnerabilidad de severidad crítica.
- Validación de datos de entrada inadecuada: Una vulnerabilidad en la funcionalidad Smart Install del Software Cisco IOS y Cisco IOS XE podría permitir a un atacante remoto sin autenticación desencadenar un reinicio en un dispositivo afectado, dando como resultado una condición de denegación de servicio (DoS). La vulnerabilidad se debe a una validación incorrecta de los datos del paquete. Un atacante podría explotar esta vulnerabilidad enviando un paquete a un dispositivo afectado en el puerto TCP 4786. Se ha asignado el identificador CVE-2018-0156 para esta vulnerabilidad de severidad crítica.
- Validación de datos de entrada inadecuada: Una vulnerabilidad en la opción 82 de la funcionalidad de encapsulación DHCP del software Cisco IOS y Cisco IOS XE podría permitir a un atacante remoto sin autenticación provocar un reinicio en el dispositivo afectado, causando una condición de denegación de servicio (DoS). Esta vulnerabilidad existe porque el software afectado implementa una validación incompleta de la entrada que recibe de paquetes DHCP Versión 4 (DHCPv4) desde los agentes de retransmisión. Un atacante podría explotar esta vulnerabilidad enviando un paquete DHCPv4 a un dispositivo afectado. Un ataque exitoso podría permitir al atacante causar un reinicio del dispositivo desencadenando una condición de denegación de servicio (DoS). Se ha asignado el identificador CVE-2018-0174 para esta vulnerabilidad de severidad crítica.
- Validación de datos de entrada inadecuada: Una vulnerabilidad en la opción 82 de la funcionalidad de encapsulación DHCP del software Cisco IOS y Cisco IOS XE podría permitir a un atacante remoto sin autenticación provocar un reinicio en el dispositivo afectado, causando una condición de denegación de servicio (DoS). Esta vulnerabilidad existe porque el software afectado implementa una validación incompleta de la entrada que recibe de paquetes DHCP Versión 4 (DHCPv4) desde los agentes de retransmisión. Un atacante podría explotar esta vulnerabilidad enviando un paquete DHCPv4 a un dispositivo afectado. Un ataque exitoso podría permitir al atacante causar una un desbordamiento del heap, desencadenando una condición de denegación de servicio (DoS).Se ha asignado el identificador CVE-2018-0172 para esta vulnerabilidad de severidad crítica.
- Validación de datos de entrada inadecuada: Una vulnerabilidad en la funcionalidad del software de Cisco IOS y Cisco IOS XE que restablece la opción 82 de la encapsulación de paquetes DHCP Versión 4 (DHCPv4) podría permitir a un atacante remoto sin autenticación provocar un reinicio en el dispositivo afectado, dando lugar a una condición de denegación de servicio (DoS). Esta vulnerabilidad existe porque el software afectado implementa una validación incompleta de la entrada que recibe con información de la opción de encapsulación 82 de mensajes DHCPOFFER provenientes de servidores DCHPv4. Un atacante podría explotar esta vulnerabilidad enviando un paquete DCHPv4 al dispositivo afectado, que luego dicho dispositivo reenviará a un servidor DHCPv4. Cuando el software afectado procesa la información con la opción 82 que está encapsulada en la respuesta del servidor podría ocurrir un error. Un ataque exitoso podría permitir al atacante provocar un reinicio en el dispositivo afectado, desencadenando una condición de denegación de servicio (DoS). Se ha asignado el identificador CVE-2018-0173 para esta vulnerabilidad de severidad crítica.
- Validación de datos de entrada inadecuada: Una vulnerabilidad en el módulo Internet Key Exchange Versión 2 (IKEv2) del software Cisco IOs y Cisco IOS XE podría permitir a un atacante remoto sin autenticar provocar una pérdida de memoria o un reinicio en el dispositivo afectado, desencadenado una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a un procesamiento incorrecto de ciertos paquetes IKEv2. Un atacante podría explotar esta vulnerabilidad enviado paquetes IKEv2 a un dispositivo afectado para ser procesados. Un ataque exitoso podría causar que un dispositivo afectado consuma memoria continuamente y en ocasiones reinicios, dando lugar a una condición de denegación de servicio (DoS). Se ha asignado el identificador CVE-2018-0158 para esta vulnerabilidad de severidad crítica.
- Incorrecta restricción de operaciones dentro de los límites de la memoria del buffer: Una vulnerabilidad de desbordamiento de búfer en el subsistema LLDP del software Cisco IOS, Cisco IOS XE y Cisco IOS XR podría permitir a un atacante adyacente, sin autenticación provocar una condición de denegación de servicio (DoS) o la ejecución de código arbitrario con privilegios elevados. Se ha asignado el identificador CVE-2018-0167 para esta vulnerabilidad de severidad crítica.
- Manejo incorrecto de parámetros de tipo cadena (string) procedentes de fuentes externas: Una vulnerabilidad en la forma de manejar cadenas dentro del en el subsistema LLDP de Cisco IOS Software y Cisco IOS XR Software permitiría a un atacante conectado en una red adyacente, sin necesidad de estar autenticado causar una Denegación de Servicio o ejecutar código de forma arbitraria con privilegios elevados. Se ha asignado el código CVE-2018-0175 para esta vulnerabilidad de severidad alta.
- Restricción de operaciones inadecuada en los límites de búfer de memoria: Esta vulnerabilidad de tipo desbordamiento de búfer, en el subsistema LLDP de Cisco IOS Software y Cisco IOS XR Software permitiría a un atacante conectado en una red adyacente, sin necesidad de estar autenticado causar una Denegación de Servicio o ejecutar código de forma arbitraria con privilegios elevados. Se ha asignado el código CVE-2018-0167 para esta vulnerabilidad de severidad alta.
- Vulnerabilidad en el manejo y gestión de errores (PK-ERRORS): Existe una vulnerabilidad en la forma de gestionar los errores cuando una cabecera del protocolo BFD (Bidirectional Forwarding Detection) está incompleta dentro del dicho paquete BFD. Un atacante remoto y sin necesidad de autenticación, podría enviar paquetes BFDF, especialmente malformados a través del Switch afectado, provocando una Denegación de Servicio debida a un reinicio forzoso del sistema. Se ha asignado el código CVE-2018-0155 para esta vulnerabilidad de severidad alta.
- Incorrecta restricción de operaciones dentro de los límites de la memoria del buffer: Una vulnerabilidad en el subsistema de calidad de servicio (QoS) de Cisco IOS y Cisco IOS XE podría permitir a un atacante remoto no autenticado causar una denegación de servicio (DoS) o ejecutar código arbitrario con máximos privilegios. La vulnerabilidad se debe a la comprobación incorrecta de ciertos valores en paquetes que están destinados al puerto 18999/udp del dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad para enviar paquetes maliciosos, cuando estos sean procesados, podría producirse una condición de desbordamiento de búfer. La explotación exitosa de esta vulnerabilidad podría permitir al atacante ejecutar código arbitrario en el dispositivo afectado con máximos privilegios. El atacante también podría aprovechar esta vulnerabilidad para hacer que el dispositivo realice una operación de “reload”, causando una denegación de servicio temporal mientras el dispositivo se reinicia. Se ha asignado el código CVE-2018-0151 para esta vulnerabilidad de severidad crítica.
Identificadores reservados para las vulnerabilidades descritas en este aviso:
Rockwell Automation Stratix Industrial Managed Ethernet Switch: CVE-2018-0171, CVE-2018-0156, CVE-2018-0155, CVE-2018-0174, CVE-2018-0173, CVE-2018-0167, CVE-2018-0175
Rockwell Automation Stratix and ArmorStratix Switches: CVE-2018-0171, CVE-2018-0156, CVE-2018-0174, CVE-2018-0172, CVE-2018-0173, CVE-2018-0158, CVE-2018-0167, CVE-2018-0175
Rockwell Automation Stratix Services Router: CVE-2018-0158, CVE-2018-0151, CVE-2018-0167, CVE-2018-0175