(modifié le 6 avril 2018 à 13:56)

Mauvaise nouvelle si vous avez des switchs Cisco, une faille critique découverte par Embedi permet de prendre complètement la main sur la configuration de 17 modèles de commutateurs.

L'exploit est référencé sous CVE-2018-0171 et Cisco qui a confirmé son existance.

Cette faille exploite une malformation de paquet lié à la fonctionnalité de Smart Install Client qui facilite le déploiement des switchs cisco en mode "plug and play". Embedi estime que 8,5 millions de switchs ont un port de management accessible sur internet et 250 000 seraient vulnérables. Oui, ça pique.

Pour exploiter la faille l'attaque utilise une requête de débordement de tampon sur le port par défaut du Smart Install (TCP 4786). Ensuite on peut modifier le mot de passe de l'équipement et entrer dans le "privileged EXEC mode", ajouter un compte, etc...

Une variante de PoC démontre qu'il est ensuite facile d'intercepter du contenu en mode MiTM grâce au classique port mirroring des familles :

Equipements à patcher

Voici la liste des équipements concernés et ayant une version IOS inférieure à 12.2(52)SE :

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Le votre en fait partie ? alors il faut patcher en urgence. Car l'exploitation de la faille peut aussi provoquer un déni de service du switch à cause du plantage du service watchdog qui part dans une boucle infinie. C'est pourquoi je vous déconseille d'essayer la faille avant de patcher !

Pour savoir si un switch est configuré avec la fonction Smart Install client, utilisez la commande show vstack config. Si le résultat contient "Role: Client and Oper Mode: Enabled" ou "Role: Client (SmartInstall enabled)" alors cela confirme que la fonction est activée sur le périphérique :

Enfin pour scanner votre réseau et liste les équipements ayant le port 4786 ouvert :

nmap -p T:4786 192.168.10.0/24

Sur cette page Cisco dédiée vous pouvez saisir la version de votre IOS (avec la commande show version) pour connaître les failles associées.

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter