A Cisco informa aos proprietários de switches Nexus para desativar o recurso POAP por motivos de segurança
Em um alerta de segurança publicado hoje, a Cisco recomendou que os proprietários de switches Nexus desativassem um recurso chamado POO (PowerOn Auto Provisioning) por motivos de segurança.
Atualmente, o POAP está habilitado por padrão no NX-OS, o sistema operacional executado no Nexus - a linha de switches de centro de dados e de tráfego pesado do Cisco.
O POAP é um recurso de provisionamento automático e implantação de toque zero que auxilia os proprietários de dispositivos na implantação inicial e na configuração de switches Nexus.
O recurso funciona verificando um script de configuração local. Se o script foi excluído, o switch foi redefinido para as configurações de fábrica, ou esta é a primeira inicialização, o daemon POAP se conectará a uma lista predefinida de servidores para baixar um arquivo de configuração inicial.
Para executar esta operação, o switch deve primeiro obter um endereço IP de um servidor DHCP local. As configurações do POAP também podem ser passadas pela resposta do DHCP.
É aí que está o problema, segundo a Cisco. A empresa diz que o recurso POAP nos dispositivos Nexus aceitará a primeira resposta DHCP recebida.
Um invasor presente na rede local pode enviar respostas malformadas de DHCP a comutadores Nexus para seqüestrar suas configurações de POAP e enganar os comutadores para fazer o download e executar scripts de configuração dos servidores de um invasor.
Esse "bug" não permite que hackers invadam dispositivos por exploração direta, mas pode ser extremamente útil para invasores que já comprometeram um sistema em uma rede interna e gostariam de escalar seu acesso a outros dispositivos.
Devido a isso, a Cisco está recomendando que os proprietários do Nexus desativem o recurso POAP, caso não estejam sendo usados.
A empresa lançou atualizações do NX-OS para todos os modelos Nexus que incluem um novo comando de terminal para desativar o recurso. Detalhes sobre como usar o novo comando do terminal, juntamente com uma lista de modelos afetados do Nexus, estão incluídos no alerta de segurança da Cisco .
O alerta é estranhamente semelhante ao que a empresa divulgou sobre outro recurso de provisionamento automático no ano passado. Em março de 2018 , a Cisco disse aos clientes para desativar o antiquado recurso Smart Install, porque os invasores poderiam abusar dele para assumir os dispositivos. O recurso entrou em exploração ativa um mês depois, em abril de 2018, sendo abusado por hacktivistas e grupos de hackers do Estado-nação .
Nenhuma das vulnerabilidades fixas foi explorada por invasores na natureza, de acordo com a equipe de segurança da Cisco.
Por último, mas não menos importante, o gigante das redes também alertou os donos de dispositivos sobre uma nova onda de ataques visando a CVE-2018-0296, uma vulnerabilidade que afeta os roteadores Cisco ASA que a empresa corrigiu em junho passado.
Após a primeira onda de ataques no ano passado, os hackers voltaram a atacar dispositivos ASA através do CVE-2018-0296 novamente. As razões para os novos ataques podem ser um novo roteiro de prova de conceito que foi publicado no GitHub no último outono e atualizado no mês passado.
