O controle remoto não autenticado sobre o equipamento de um ISP vulnerável pode permitir que um invasor efetue login no software como administrador e assuma o controle remoto de milhares e milhares de roteadores domésticos de clientes, gateways de banda larga e caixas semelhantes.
A Cisco afirmou: A vulnerabilidade ocorre devido a um erro de processamento no controle de acesso baseado em função (RBAC) dos URLs. Um invasor pode explorar essa vulnerabilidade enviando comandos de API via HTTP para um URL específico sem autenticação prévia.
Uma exploração pode permitir que o invasor execute qualquer ação no Cisco Prime Home com administrador privilégios.
Observe que “administrador” foi colocado em itálico pelo gigante das redes. Super sério.
A Cisco apresenta o Prime Home como uma “solução” para ISPs e fornecedores de dispositivos conectados, permitindo que as empresas controlem dispositivos como Modems a cabo, roteadores e decodificadores emitidos por ISP em assinantes‘casas de longe. Ele usa o “conjunto de protocolos TR-069 do Broadband Forum para provisionar e gerenciar dispositivos domésticos”.
Isso significa que um ataque bem-sucedido à instalação do Prime Home, por um provedor de serviços de Internet, permitiria que um criminoso assumisse o controle da GUI do Prime Home no nível de administrador e se intrometesse com todos os dispositivos conectados a esse serviço específico.
Como não há soluções alternativas ou atenuações para o bug, a Cisco recomenda que os administradores instalem a atualização o mais rápido possível.
Agora, imagine que você é um ISP, fornecendo equipamentos de rede doméstica para centenas de milhares de clientes, ajudando computadores, TVs inteligentes, consoles de jogos, telefones e outros dispositivos de IoT a se conectarem em alta velocidade à rede. Você quer uma maneira de gerenciar e dar suporte remotamente a um grande número de sites de clientes.
O que geralmente não é tão ruim quanto parece. Eles têm os recursos para acompanhar os problemas de segurança e gerenciar sua conexão de rede sem aumentar seus riscos.
“Os administradores podem verificar se estão executando uma versão afetada, abrindo o URL do Prime Home no navegador e verificando o ‘Versão:’ linha na janela de login ”, diz Cisco.
“Se atualmente estiver logado, as informações da versão podem ser visualizadas na parte inferior esquerda do rodapé da interface do usuário do Prime Home, ao lado do texto do Cisco Prime Home.”
“Todas as versões do software – da v6.3.0.0 abaixo – deve ser atualizado. O bug é designado como CVE-2017-3791 e CWE-287. ”
A Cisco também disse: Em todos os casos, os clientes devem garantir que os dispositivos a serem atualizados contenham memória suficiente e confirmar que as configurações atuais de hardware e software continuarão a ser suportadas adequadamente pela nova versão.
Se as informações não estiverem claras, os clientes são aconselhados a entrar em contato com o Centro de Assistência Técnica da Cisco (TAC) ou com os fornecedores de manutenção contratados.