Debido a la cantidad de vulnerabilidades altamente críticos en algunos de sus productos, Cisco ha sido el centro de atención en el mundo ciberdelincuencia. Las últimas noticias en relación con la empresa implica un nuevo grupo de hackers, J ः t, que secuestrado con éxito una amplia gama de dispositivos de Cisco. Los dispositivos pertenecen a organizaciones en Rusia e Irán.
Al parecer,, los piratas informáticos JHT dejaron un mensaje en los dispositivos pirateados con el texto siguiente: - “No se metan con nuestras elecciones". El mensaje también tenía una bandera estadounidense en el estilo de arte ASCII. De acuerdo con la Comunicación de Irán y el ministro de Tecnología de la Información, MJ Azari Jahromi, algunos 3,500 conmutadores de red en el país se vieron afectadas. La buena noticia es que la mayoría de ellos ya se han hecho volver a la normalidad.
Se CVE-2.018-0171 Se utiliza en los ataques de hacking Grupo JHT?
En estos últimos ataques, la Cisco Smart Install Cliente ha sido blanco. Smart Install es una característica de configuración plug-and-play y gestión de imágenes que proporciona implementación sin intervención de nuevos conmutadores. Gracias a esta configuración, un interruptor pueda ser transportado y colocado en la red, sin necesidad de ninguna configuración en el dispositivo, Cisco explica.
Esta característica, que está diseñado para ayudar a los administradores configurar y desplegar de forma remota los dispositivos de Cisco, está activado por defecto en Cisco IOS y Cisco IOS XE interruptores que se ejecuta en el puerto TCP 4786.
Al principio, los investigadores pensaron que la vulnerabilidad CVE-2018-0171 ha sido aprovechado en estos ataques, o la ejecución remota de código bug recientemente descrito en Cisco Smart Install Client.
La vulnerabilidad es un resultado de una validación incorrecta de los datos de packer en el cliente de instalación inteligente. Smart Install es una característica de configuración plug-and-play y gestión de imágenes que proporciona implementación sin intervención de nuevos conmutadores, Cisco explica. Gracias a esta configuración, un interruptor pueda ser transportado y colocado en la red, sin necesidad de ninguna configuración en el dispositivo.
“Una vulnerabilidad en el Smart característica del software Cisco IOS y el software Cisco IOS XE Instalar podría permitir a un autenticado, atacante remoto para desencadenar una recarga de un dispositivo afectado, resultando en una denegación de servicio (DoS) condición, o para ejecutar código arbitrario en un dispositivo afectado”, recientemente, los investigadores reportado.
Cisco Smart Install Cliente El uso inapropiado
Sin embargo, resulta que los ataques implicaron la mera mal uso de los dispositivos de destino, No explotar una vulnerabilidad. Cisco dice que el mal uso es el más posible esbozo debido a que los dispositivos hackeados se restablecieron e hicieron disponible. La forma en que el ataque fue llevado a cabo por sobrescribir la configuración del dispositivo presenta la posibilidad de un mal uso del protocolo Smart Install.
Al parecer,, este protocolo se puede abusar de modificar la configuración del servidor TFTP, exfiltrate archivos de configuración a través de TFTP, modificar el archivo de configuración, reemplazar la imagen del IOS, y configurar cuentas, lo que permite la ejecución de comandos del IOS, Cisco dice en una consultivo.
Además, investigadores de Qihoo 360 Netlab también creen que los ataques de piratas informáticos JHT no estaban destinados a aprovechar una vulnerabilidad particular, pero han sido provocadas por la falta de autenticación en el protocolo de Smart Install.
Shodan estadísticas revelan que más del 165,000 Los sistemas están expuestos de ejecutar la instalación de cliente inteligente a través del puerto TCP 4786. Dado que la función está activada de forma predeterminada, los administradores deberían asegúrese de limitar su acceso a través de listas de control de acceso de interfaz. Si la función no es necesaria en absoluto, es mejor que se desactive en general a través del comando de configuración “no vstack”.
Y por último, a pesar de los cortes JHT no implican el uso del error CVE-2.018-0.171, administradores todavía se insta a aplicar el parche inmediatamente.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: