Vulnerabilidade no Telnet afeta switches Cisco (e isso é o menos importante)

(Alguém ainda usa Telnet?)

No último dia 7 o Wikileaks vazou mais de 8 mil páginas de documentos com inúmeros exploits zero-day, que possivelmente afetam IOS, Android, Windows e SmartTVs, além de outros sistemas e equipamentos de rede.

Segundo o Wikileaks estas informações foram vazadas diretamente da CIA (e de agencias parceiras), que teoricamente utiliza esses exploits para acessar dispositivos de seus alvos.

As empresas estão verificando se esses exploits são efetivos, e a Cisco já se manifestou confirmando uma vulnerabilidade zero-day (CVE-2017-3881) que afeta mais de 300 modelos de switches.

A vulnerabilidade no CMP – Cluster Management Protocol, que é utilizado pelo Telnet, permite um usuário remoto reiniciar o equipamento e executar comandos com privilégio elevado (incluído ter acesso completo).

No momento a única maneira de se proteger desta vulnerabilidade é desabilitar o Telnet.

Verificando se o Telnet está habilitado

Basta usar o comando show running-config para verificar se seu switch Cisco está com o Telnet habilitado.

Podemos ainda usar o comando show running-config | include ^line vty|transport input para ir direto à parte que interessa.

Equipamento não vulnerável (permite conexão apenas via SSH)

BrainSW01#show running-config | include ^line vty|transport input
line vty 0 4
 transport input ssh
line vty 5 15
transport input ssh
BrainSW01#

Equipamento vulnerável (permite conexão via Telnet, config padrão)

BrainSW01#show running-config | include ^line vty|transport input
line vty 0 4
line vty 5 15
BrainSW01#

Além dos exemplos acima, se no seu output tiver a opção “Telnet” ou “All” na linha transport, o seu equipamento está vulnerável.

O comunicado oficial da Cisco, com a lista de equipamentos afetados pode ser visto aqui.

Vault 7

Este vazamento foi batizado de Vault 7, e a primeira parte da operação chamada Year Zero, cujo foco é fazer o maior vazamento de todos os tempos de documentos confidenciais da CIA.

Já com este primeiro vazamento dá para notar que entre outras coisas a  CIA é uma fábrica de malware/vírus, capaz de ter acesso aos mais famosos sistemas operacionais. Segundo as informações disponibilizadas pelo Wikileaks o CCI – Center for Cyber Intelligence, conta com mais de 5000 usuários e seus hackers já codificaram mais linhas do que o necessário para manter o Facebook funcionando.

Essas técnicas permitem a CIA ignorar a criptografia do WhatsApp, Signal, Telegram, Weibo, Confide e Cloackman, coletando tráfego de áudio e mensagens antes que a criptografia seja aplicada”, Wikileaks sobre técnicas para acessar dados em smartphones.

Além dos APPs citados acima, e dos já mencionados sistemas operacionais, o Skype é outro software que pode ser hackeado.

E não para por ai. A CIA ainda seria capaz de fazer com que SmartTVs se tornem “SpyTVs”.

A CIA pode hackear as TVs inteligentes da Samsung e depois colocá-las no modo “falso desligado” para que um dono inocente acredite que sua TV está desligada – quando na verdade está ligada, gravando todos os sons na sala e transmitindo-os através da rede para um servidor secreto da CIA.

Nos próximos dias devemos ter mais informações, com confirmações ou não das vulnerabilidades apresentadas.

Até a próxima.