Cisco Smart Install es una función de configuración y administración «plug-and-play» de Cisco, que permite la configuración de nuevos routers o switches situados en cualquier ubicación, instalarlos en la red y encenderlo sin requisitos adicionales. La función Smart Install no incorpora autenticación por diseño, por tal motivo, un atacante remoto no autenticado podría cambiar el archivo de configuración de inicio, forzar un reinicio del dispositivo, cargar una nueva imagen del sistema operativo y ejecutar comandos CLIs privilegiados, es decir tomar el control total del dispositivo y usarlo para actividades maliciosas.
Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, el de nuestros clientes y el de nuestra infraestructura, solicita que siga estos pasos:
- Deshabilitando el servicio Cisco Smart Install con el comando no vstack, o bloquear el puerto 4786, en caso de no ser utilizado.
- Si el servicio es necesario, restringir las conexiones TCP al puerto 4786 únicamente desde IPs de confianza
Si existe una red interna nateada a través de la IP ofensora, todos los equipos de esta red deben ser revisados, con el fin de localizar al equipo que presente el servicio activo.
Con el objetivo de atenuar el riesgo asociado a esta vulnerabilidad/amenaza Telconet podría aplicar el siguiente filtrado o bloqueo de protocolo o puerto: ANY -> IP.dest TCP:4786; para proceder con este filtrado o bloqueo necesitamos de su aprobación.
La Norma Técnica establece en el Artículo 34 las obligaciones de los abonados o clientes.
«Artículo 34.- Obligaciones de los abonados o clientes.- Adicional a las obligaciones que deben cumplir los abonados, clientes o usuarios, contempladas en el artículo 23 de la Ley Orgánica de Telecomunicaciones, en el artículo 57 de su Reglamento General, y las establecidas en los títulos habilitantes u otras normas o reglamentos emitidos por la ARCOTEL, los abonados o clientes de los servicios de telecomunicaciones tendrán las siguientes obligaciones:
- Adoptar las medidas sugeridas por el prestador de servicios a fin de salvaguardar la integridad de la red y las comunicaciones.
- No realizar alteraciones a los equipos que puedan causar interferencias o daños a las redes y servicios de telecomunicaciones en general.»
Más información sobre la Norma Técnica, la puede encontrar en:
- Ley Orgánica de Telecomunicaciones: https://www.telecomunicaciones.gob.ec/wp-content/uploads/downloads/2016/05/Ley-Orgánica-de-Telecomunicaciones.pdf
- Norma Técnica: https://www.arcotel.gob.ec/wp-content/uploads/downloads/2018/08/ARCOTEL-2018-0652-2018-07-31-TELECOMUNICACIONES-MATRIZ.pdf
- Registro Oficial: https://www.registroficial.gob.ec/index.php/registro-oficial-web/publicaciones/registro-oficial/item/10924-registro-oficial-no-331
Más información sobre la vulnerabilidad en el servicio de Cisco Smart Install puede ser encontrado en el siguiente enlace: