بنابر هشدارهای سیسکو، سوئیچهای محافظتنشده، زیرساختهای حیاتی را در معرض حمله قرار میدهند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سیسکو به سازمانها توصیه کرده است تا اطمینان حاصل کنند که امکان نفوذ به سوئیچهای آنها از طریق پروتکل Smart Install وجود ندارد. این غول شبکه صدها هزار دستگاه آسیبپذیر را شناسایی کرده و هشدار دادهاست که زیرساختهای حیاتی ممکن است در معرض خطر باشند.
Cisco Smart Install Client یک ابزار قدیمی است که بدون نیاز به لمس، نصب سوئیچهای جدید سیسکو را فراهم میکند. تقریبا یک سال پیش و بهدنبال افزایش پویشهای اینترنتی برای شناسایی دستگاههای محافظت نشدهای که قابلیت Smart Install را فعال کردهاند، این شرکت در مورد سوءاستفاده از این پروتکل به مشتریان هشدار داده و برای شناسایی دستگاههایی که از این پروتکل استفاده میکنند نیز یک ابزار متنباز در دسترس قرار داد.
مهاجمان میتوانند از پروتکل Smart Install بهمنظور تغییر پرونده پیکربندی بر روی سوئیچهای اجراکننده نرمافزارهای IOS و IOS XE سوءاستفاده کنند، دستگاه را مجددا بارگیری کنند، یک تصویر جدید IOS بارگذاری کرده و دستورات دارای امتیاز بالا را اجرا کنند. این حملات از ناتوانی بسیاری از سازمانها در ایمن کردن پیکربندی سوئیچهای خود ناشی میشوند.
به گفته سیسکو، گروههای خبره دولتی نیز ازجمله عوامل تهدیدکننده مرتبط با روسیه مانند Dragonfly، Crouching Yeti و Energetic Bear که به هدف قرار دادن زیرساختهای حیاتی شناختهشدهاند از پروتکل Smart Installer سوءاستفاده میکنند.
سیسکو بهدنبال افشای یک آسیبپذیری بحرانی که اخیرا توسط پژوهشگران Embedi کشف شدهاست، یکبار دیگر در مورد خطرات مرتبط با Smart Install به سازمانها هشدار داد.
این آسیبپذیری که یک اشکال سرریز بافر مبتنیبر پشته بوده و با شناسه CVE-۲۰۱۸-۰۱۷۱ ردیابی میشود به مهاجم از راه دور و غیرقابل شناسایی اجازه میدهد تا یک وضعیت منع سرویس (DoS) ایجاد کرده و یا با ارسال پیامهای نصب Smart Install به یک دستگاه آسیبدیده بر روی درگاه ۴۷۸۶ پروتکل TCP، کدهای دلخواه را اجرا کند. پژوهشگران اعلام کردند که تقریبا ۲۵۰ هزار دستگاه آسیبپذیر سیسکو با درگاه ۴۷۸۶ پروتکل TCP را که این درگاه بهصورت پیشفرض باز است، شناسایی کردهاند.
در پویشهای اینترنتی سیسکو، ۱۶۸ هزار سامانه بهدلیل استفاده از Cisco Smart Install Client، آسیبپذیر اعلام شدهاند. این شرکت میگوید که از سال ۲۰۱۶ میلادی و پس از شناسایی بیش از ۲۵۰ هزار سامانه آسیبپذیر توسط شرکت امنیتی Tenable، تعداد دستگاههای آسیبدیده به میزان قابلتوجهی کاهش یافتهاست.
اواخر سال ۲۰۱۷ و اوایل سال ۲۰۱۸ میلادی، گروه سیسکو تالوس متوجه شد که مهاجمان بهطور فزایندهای بهدنبال کارخواههای با پیکربندی نادرست هستند. اکنون که آسیبپذیری CVE-۲۰۱۸-۰۱۷۱ کشف شده و Embedi نیز جزییات فنی و کد اثبات مفهومی (PoC) آن را منتشر کردهاست، خطر این حملات حتی بیشتر افزایش یافتهاست.
شواهدی وجود ندارد که آسیبپذیری CVE-۲۰۱۸-۰۱۷۱ در حملات مخرب مورد بهرهبرداری قرار گرفتهباشد. سیسکو همچنین اشاره کرد که احتمالا بیشتر فعالیتهای مشاهدهشده مخرب نیستند، اما افزایش چشمگیر آنها در پویشها قابلتوجه است.
این فروشنده پیشنهادهای خود را برای جلوگیری از حملات احتمالی ارائه داده و به مشتریان توصیه کردهاست که اگر نیازی به Smart Install Client ندارند، آن را از دستگاههای خود حذف کنند. Smart Install بهطور پیشفرض بر روی سوئیچهایی که بهروزرسانی اخیر را دریافت نکردهاند، فعال است. در بهروزرسانی جدید، زمانیکه از این ویژگی استفادهنشود، بهصورت خودکار غیرفعال خواهدشد.
Cylance اخیرا گزارش داد که گروه جاسوسی Dragonfly یک مسیریاب مرکزی سیسکو را در یک کنگره انرژی دولتی در ویتنام به سرقت برده و آن را برای بهدست آوردن گواهینامههایی که بعدا در حمله به شرکتهای انرژی انگلیس استفاده شدند، مورد بهرهبرداری قرار داده است. هنوز مشخص نیست که Smart Install نیز در این حملات مورد استفاده قرار گرفتهاست یا خیر.