På grund af antallet af stærkt kritiske sårbarheder i nogle af sine produkter, Cisco har været centrum for opmærksomhed i cyberkriminalitet verden. De seneste nyheder om selskabet indebærer en ny hacking gruppe, J ः t, som med held kapret en række Cisco-enheder. Enhederne tilhører organisationer i Rusland og Iran.
Tilsyneladende, de JHT hackere efterlod en besked på hackede enheder med følgende tekst - ”Ikke rod med vores valg". Budskabet havde også et amerikansk flag i ASCII kunst stil. Ifølge den iranske Kommunikation og Informationsteknologi minister, MJ Azari Jahromi, nogle 3,500 netværk switches i landet blev ramt. Den gode nyhed er, at de fleste af dem allerede er blevet bragt tilbage til normal.
Var CVE-2018-0171 Bruges i JHT Hacking Group angreb?
I disse seneste angreb, den Cisco Smart Install Client er blevet rettet. Smart Install er en plug-and-play-konfiguration og image-management funktion, der giver nul-touch implementering af nye kontakter. Takket være denne konfiguration, en omskifter kan sendes og anbringes i netværket, uden at behøve nogen konfiguration på enheden, Cisco forklarer.
Denne funktion, som er designet til at hjælpe administratorer at konfigurere og implementere Cisco-enheder på afstand, er aktiveret som standard på Cisco IOS og Cisco IOS XE switches kører på TCP port 4786.
Ved første, Forskerne mente, at CVE-2018-0171 sårbarhed er blevet gearede i disse angreb, eller den nylig offentliggjorte fjernkørsel af programkode fejl i Cisco Smart Install Client.
Sårbarheden er et resultat af en forkert validering af Packer data i Smart Install Client. Smart Install er en plug-and-play-konfiguration og image-management funktion, der giver nul-touch implementering af nye kontakter, Cisco forklarer. Takket være denne konfiguration, en omskifter kan sendes og anbringes i netværket, uden at behøve nogen konfiguration på enheden.
”En sårbarhed i Smart Install funktion i Cisco IOS-software og Cisco IOS XE-software kan tillade en ikke-godkendt, hacker at udløse en reload af en påvirket enhed, hvilket resulterer i et lammelsesangreb (DoS) tilstand, eller at udføre vilkårlig kode på en berørt enhed”, forskere nylig rapporteret.
Cisco Smart Install Client misbruges
Men, det viser sig, at angrebene involverede den blotte misbrug af de målrettede enheder, ikke en sårbarhed udnytte. Cisco siger, at misbrug er mest mulig skitse, fordi de hackede enheder blev nulstillet og gjort utilgængelige. Den måde angrebet blev udført ved overskrive enhedens konfiguration udviser muligheden for misbrug af Smart Install protokol.
Tilsyneladende, denne protokol kan misbruges til at ændre indstillingen TFTP-serveren, exfiltrate konfigurationsfiler via TFTP, ændre konfigurationsfilen, erstatte IOS billede, og oprette konti, tillader udførelse af IOS kommandoer, Cisco siger i en rådgivende.
Endvidere, forskere fra Qihoo 360 Netlab mener også, at de hacking angreb JHT ikke var meningen at udnytte en særlig sårbarhed, men blev udløst af den manglende godkendelse i Smart Install-protokol.
Shodan statistikker viser, at over 165,000 systemer er udsat kører Smart Install Client over TCP port 4786. Da funktionen er aktiveret som standard, administratorer bør sørge for at begrænse adgangen via interface adgangskontrol lister. Hvis funktionen ikke er behov for på alle, det er bedre, at det generelt er deaktiveret via ”nej vstack” konfiguration kommando.
og endelig, selv om JHT hacks ikke indebærer brug af CVE-2018-0171 bug, administratorer stadig opfordres til at anvende plasteret straks.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: