lunes, 22 de agosto de 2016

Vulnerabilidad SNMP en Cisco ASA

Dispositivos Cisco afectados por el arsenal de Equation Group

Ya hemos comentado la publicación de un grupo de exploits empleado por Equation Group como una muestra de algo que se supone mucho más grande. Pero esa simple muestra incluía un exploit 0day que permitía la ejecución de código en dispositivos Cisco y que ha obligado a la compañía a actuar con carácter de urgencia.

Realmente entre el material filtrado se incluía código que explotaba dos vulnerabilidades en dispositivos Cisco ASA y firewalls Cisco PIX. Si bien una de ellas ya había sido corregida en 2011, aunque la compañía de San Francisco ha publicado un nuevo aviso para incrementar su visibilidad y asegurar que todos los usuarios con versiones de software afectadas puedan protegerse contra este grupo de exploits.

La nueva vulnerabilidad anunciada, considerada 0day, reside en un desbordamiento de búfer en el código del protocolo SNMP (Simple Network Management Protocol) del software Cisco Adaptive Security Appliance (ASA) que podría permitir a atacantes remotos sin autenticar ejecutar código arbitrario en el sistema. Se le ha asignado el CVE-2016-6366.

Afecta a los siguientes productos:
  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module para Cisco Catalyst 6500 Series Switches y Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 4100 Series
  • Cisco Firepower 9300 ASA Security Module
  • Cisco Firepower Threat Defense Software
  • Cisco Firewall Services Module (FWSM)*
  • Cisco Industrial Security Appliance 3000
  • Cisco PIX Firewalls

Funcionamiento del exploit
http://blogs.cisco.com/security/shadow-brokers
Se ven afectadas todas las versiones de SNMP. El atacante deberá conocer el nombre de comunidad SNMP para explotar la vulnerabilidad.

En la actualidad Cisco confirma que está trabajando en actualizaciones para las versiones afectadas.

 Se recomienda a los administradores que solo usuarios de confianza tengan acceso a SNMP y monitorizar los sistemas afectados mediante el comando "snmp-server".

Se debe seguir el capítulo SNMP de la Guía de configuración de Cisco ASA para configurar adecuadamente este protocolo en los dispositivos:

Los nombres de comunidad SNMP son como contraseñas, y deben recibir el mismo tratamiento que cualquier otra contraseña.

Por otra parte, una segunda vulnerabilidad que aunque ya fue corregida en 2011, por su gravedad y repercusión ha merecido su tratamiento como si fuera nueva. El problema, con CVE-2016-6367, reside en una vulnerabilidad en la interfaz de línea de comandos del software Cisco Adaptive Security Appliance (ASA) que a través de determinados comandos no válidos podría permitir a atacantes locales autenticados ejecutar código arbitrario en los sistemas afectados.

Se ven afectadas las versiones de software Cisco Adaptive Security Appliance (ASA) anteriores a la 8.4(3) en los siguientes productos:
  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco PIX Firewalls
  • Cisco Firewall Services Module (FWSM)
Cisco ha publicado las versiones 8.4(3) y 9.0(1) que corrigen este problema.

Más información:
una-al-dia (19/08/2016) A la venta el arsenal del Equation Group
The Shadow Brokers EPICBANANAS and EXTRABACON Exploits

Cisco Adaptive Security Appliance SNMP Remote Code Execution Vulnerability

Cisco Adaptive Security Appliance CLI Remote Code Execution Vulnerability
Antonio Ropero
Twitter: @aropero
Tomado de: http://unaaldia.hispasec.com/2016/08/dispositivos-cisco-afectados-por-el.html

martes, 16 de agosto de 2016

Solucionado: Denegación de servicio en Cisco IOS XR


Cisco ha confirmado una vulnerabilidad en routers Cisco ASR 9001 Aggregation Services con Cisco IOS XR que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio.

El problema, con CVE-2016-6355, reside en el tratamiento inadecuado de paquetes fragmentados específicamente creados dirigidos al dispositivo afectado. 
Un ataque exitoso podría provocar una fuga de memoria en el procesador de rutas del dispositivo que provocaría la caída de los paneles de control de protocolo y la consiguiente condición de denegación de servicio.

El problema afecta a Cisco IOS XR versions 5.1.x, 5.2.x y 5.3.x, en routers Cisco ASR 9001 Aggregation Services.

Se ha solucionado en la versión de Cisco IOS XR 5.3.3, con las siguientes Software Maintenance Updates (SMUs):
  • asr9k-px-5.3.2.CSCux26791.pie para versiones 5.3.x
  • asr9k-px-5.2.4.CSCux26791.pie para versiones 5.2.x
  • asr9k-px-5.1.3.CSCux26791.pie para versiones 5.1.x

Más información:

Cisco IOS XR Software for Cisco ASR 9001 Aggregation Services Routers Fragmented Packet Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160810-iosxr


Antonio Ropero -  antonior@hispasec.com - Twitter: @aropero

martes, 9 de agosto de 2016

Oferta Apunte rápido CCNP Route - 150 Bolivianos



* Oferta vádida para Bolivia, hasta agotar stock

El Apunte Rápido desarrolla de modo sintético la totalidad del temario del examen de certificación. 

Se incluiye un anexo aparte un breve desarrollo sobre el protocolo IS-IS. Si bien IS-IS no es parte del temario del examen de certificación es un protocolo de enrutamiento que tiene importancia creciente en algunos entornos específicos.

En este manual se encuentran todos los contenidos necesarios para completar la preparación del examen de certificación.

Si eres un alumno de Academia o de Learning Partner, es posible que este manual te sea suficiente y al momento de estudiar utilices los materiales oficiales que recibiste durante tu cursada para aclarar dudas o buscar referencias necesarias.

Para quienes estudian por sí mismo (auto-estudio), este manual les sirve como referencia de base y deberán complementarlo con investigación personal.

No incluye herramientas pedagógicas tales como mapas conceptuales, resúmenes, notas, cuestionarios, anexos de ejercicios, etc.

Fecha de publicación: 21 de septiembre de 2015
Autor: Oscar A. Gerometta
CCSI / CCNA R&S / CCDA / CCNAwir / CCNA sec. / CCBF.
Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking 
Academy program que se preparan a rendir su examen de certificación CCNA, logrando entre sus alumnos un nivel de aprobación superior al 95%.

Texto:
Se trata de una síntesis de los contenidos de estudio comprendidos en el nuevo examen de certificación ROUTE 300-101.

Está alineado al examen CCNP ROUTE 300-101. 




Contenidos:
  • El examen de certificación ROUTE.
  • Conceptos básicos de enrutamiento IP.
  • Implementación de RIPng.
  • Implementación de EIGRP.
  • Implementación de OSPF.
  • Redistribución de rutas.
  • Implementación de control de rutas.
  • BGP - Conexión corporativa a Internet.
  • Protección de routers y protocolos de enrutamiento.
  • Anexo 1: Glosario de siglas.
  • Anexo 2: Protocolo IS-IS.
Cantidad de páginas: 265

Algunas notas sobre esta versión:
  • Cubre la totalidad del temario.
  • Incluye enrutamiento IPv6.
  • Se incluye tanto la configuración de OSPFv3 como Named EIGRP.
  • IS-IS no es parte del temario del examen, ha sido incluido solo como información complementaria.
  • Por tratarse de un Apunte Rápido no incluye laboratorios.
Mas información: libros.networking.bolivia@gmail.com - El costo incluye despacho por flota.

miércoles, 3 de agosto de 2016

Cisco anuncia vulnerabilidad en Wireless LAN Controller

 

Denegación de servicio en Cisco Wireless LAN Controller

Cisco ha anunciado el descubrimiento de un problema en sus dispositivos Wireless LAN Controller (WLC) que podría permitir a usuarios sin autenticar provocar condiciones de denegación de servicio.

El problema se debe a un tratamiento insuficiente del tráfico de paquetes "wireless management frames". Un atacante remoto no autenticado podrá enviar tráfico manipulado que provoque la caída del dispositivo afectado.

La vulnerabilidad, con la referencia CVE-2016-1460, afecta a los dispositivos con versiones de software 7.4(121.0) y 8.0(0.30220.385). Cisco no ofrece actualizaciones para corregir este problema.

Más información:

Cisco Wireless LAN Controller Denial of Service Vulnerability

lunes, 1 de agosto de 2016

Cisco invita a preparar las redes para la transformación digital



Diario TI 14/07/16 9:54:44

Cisco ha anunciado novedades para ayudar a la industria (ingenieros, desarrolladores, partners y clientes) a preparar las redes para la transformación digital.

En marzo, la compañía presentó Digital Network Architecture (DNA), definiéndola como “una innovadora aproximación al networking construida desde cero para la era digital que constituye un cambio fundamental en la forma de construir y gestionar las redes”.

A medida que las organizaciones adoptan la movilidad, el Cloud, el Internet of Things (IoT) y la analítica de Big Data para digitalizar su negocio, los equipos de TI tienen más dificultades para lidiar con la creciente complejidad de la red, la sofisticación de las amenazas de seguridad y las mayores demandas de servicios de sus clientes.

Las redes tradicionales no pueden escalar lo necesario para responder a estos mayores retos del mundo digital. Se requiere así una nueva red para la era digital, diseñada desde el principio para ser flexible, programable y abierta; algo que Cisco ofrece con la plataforma DNA, basada en una aproximación centrada en el software (en lugar del hardware), automatizada (en lugar de manual) y adaptativa (en lugar de reactiva).

El viaje hacia la red digital


Cisco ofrece apoyar a las organizaciones en su viaje hacia las redes para la era digital mediante un nuevo modelo que identifica los cinco elementos clave de la preparación de red: automatización, analítica, seguridad y cumplimiento con las políticas, Cloud e IoT.

La empresa indica que este modelo define la evolución de los clientes a través de esas cinco fases, apoyándose en una herramienta que permite evaluar su estado actual y ofrecer recomendaciones para optimizar su transformación de red.

Según un estudio de IDC encargado por Cisco, un gran número de clientes están ya realizando la transición hacia las redes preparadas para la era digital. Así, aunque cuatro de cada cinco organizaciones consultadas aún no han alineado sus estrategias de negocio y de networking, aquellas que sí lo han hecho están duplicando sus ingresos, mientras el porcentaje de clientes que planean implementar redes basadas en software y con capacidades de automatización se multiplicará por más de tres en los próximos dos años (del 13 al 44 por ciento).

Más allá de la innovación tecnológica

Para que la propuesta de Cisco DNA sea una realidad, Cisco está ayudando a todo su ecosistema -desde clientes y partners hasta ingenieros y desarrolladores- a construir las habilidades necesarias para escalar, proteger y evolucionar estas redes preparadas para la era digital.

Ingenieros de red. 

A medida que la red se vuelve más automatizada y basada en software, los ingenieros deben ampliar sus habilidades de programación. Cisco está actualizando su porfolio de certificaciones para responder a esta necesidad, incluyendo la nueva modalidad Cisco Certified Internetwork Expert (CCIE) que afectará a todas las certificaciones a nivel de experto, junto a un nuevo examen Cisco Network Programmability Engineer Specialist.

Desarrolladores de aplicaciones. 

A medida que la red se convierte en más abierta y programable, la comunidad de desarrolladores es cada vez más esencial para construir una nueva generación de aplicaciones ‘conscientes’ de la red. DNA es un elemento clave de DevNet, la comunidad de desarrolladores de Cisco compuesta por 300.000 profesionales, a la que Cisco está ayudando en esta transición con formación y eventos específicos (más información en este blog).

Partners de canal. 

Los 70.000 partners de canal de Cisco están ya evolucionando hacia redes más flexibles basadas en software, integrando nuevas habilidades y generando nuevas oportunidades de negocio a través de la automatización, la analítica y la seguridad. Para ello, Cisco sigue ofreciendo a sus partners programas de incentivos y ha diseñado nuevos roles en su actual Ecosistema de Partners para contribuir a acelerar dicha transición (más detalles en este blog).

Seguridad integrada en la red

Cisco también ha anunciado nuevas soluciones de seguridad integradas en la red y diseñadas para optimizar y simplificar la seguridad de las empresas distribuidas. Utilizar la red para mejorar la visibilidad frente a las amenazas y reforzar las políticas es uno de los pilares de Cisco DNA, comenta la empresa, anunciando que protegerá la infraestructura de las sucursales mediante innovadoras soluciones como Umbrella Branch, Stealthwatch Learning Networks License y Meraki MX Security Appliances con AMP y Threat Grid.

Jeff Reed, vicepresidente senior de Infraestructura y Soluciones de Red en Cisco: “Con DNA, Cisco está reinventando las redes para la era digital, simplificando la adopción del Cloud y la movilidad e integrando avanzadas funcionalidades de seguridad. Pero como la tecnología no es suficiente, también estamos contribuyendo a ampliar las habilidades de los profesionales de TI, formando a los desarrolladores de aplicaciones y ayudando a los clientes a evaluar la preparación de sus redes para la nueva era digital”.

Vea el video: 

Tomado de: http://diarioti.com/cisco-invita-a-preparar-las-redes-para-la-transformacion-digital/99121