En raison du nombre de vulnérabilités hautement critiques dans certains de ses produits, Cisco a été le centre d'attention dans le monde cybercriminalité. Les dernières nouvelles concernant la société implique un nouveau groupe de piratage informatique, J 't, qui détourné avec succès une gamme de dispositifs de Cisco. Les appareils appartiennent à des organisations en Russie et en Iran.
Apparemment, les pirates JHT laissé un message sur les appareils piraté avec le texte suivant - «Ne jouez pas avec nos élections". Le message avait aussi un drapeau américain dans un style art ASCII. Selon la communication iranienne et ministre Technologies de l'information, MJ Azari Jahromi, certains 3,500 commutateurs de réseau dans le pays ont été touchés. Les bonnes nouvelles sont que la plupart d'entre eux ont déjà été ramenés à la normale.
CVE-2018-0171 a été utilisé dans les attaques JHT Piratage Groupe?
Dans ces dernières attaques, la Cisco Smart Install Client a été prise pour cible. Smart Install est une configuration plug-and-play et fonctionnalité de gestion de l'image qui permet un déploiement zero-touch pour les nouveaux commutateurs. Merci à cette configuration, un commutateur peut être livré et placé dans le réseau, sans avoir besoin de configuration sur l'appareil, Cisco explique.
Cette fonction qui est conçu pour aider les administrateurs de configurer et de déployer à distance des périphériques Cisco, est activé par défaut sur Cisco IOS et Cisco IOS XE commutateurs en cours d'exécution sur le port TCP 4786.
D'abord, les chercheurs pensaient que la vulnérabilité CVE-2018-0171 a été tiré parti dans ces attaques, ou le bug d'exécution de code à distance récemment divulguée dans Cisco Smart Installer le client.
Cette vulnérabilité est le résultat d'une validation incorrecte des données de garniture d'étanchéité dans le Smart Install client. Smart Install est une configuration plug-and-play et fonctionnalité de gestion de l'image qui permet un déploiement zero-touch pour les nouveaux commutateurs, Cisco explique. Merci à cette configuration, un commutateur peut être livré et placé dans le réseau, sans avoir besoin de configuration sur l'appareil.
« Une vulnérabilité dans la fonctionnalité Smart Install du logiciel Cisco IOS et logiciel Cisco IOS XE pourrait permettre à un non authentifié, attaquant distant de déclencher un rechargement d'un périphérique affecté, entraînant un déni de service (DoS) condition, ou exécuter du code arbitraire sur un périphérique affecté », Des chercheurs ont récemment signalé.
Cisco Smart Installer le client Usurpation
Cependant, il se trouve que les attaques qui utilisent la simple utilisation abusive des dispositifs ciblés, pas un exploit de la vulnérabilité. Cisco dit que l'utilisation abusive est le contour plus possible parce que les dispositifs piraté ont été remis à zéro et rendus indisponibles. La façon dont l'attaque a été menée par écraser la configuration de l'appareil présente la possibilité d'une mauvaise utilisation du protocole Smart Install.
Apparemment, ce protocole peut être abusé de modifier les paramètres du serveur TFTP, exfiltrer fichiers de configuration via TFTP, modifier le fichier de configuration, remplacer l'image IOS, et mettre en place des comptes, permettant l'exécution de commandes IOS, Cisco dit dans un consultatif.
En outre, des chercheurs de Qihoo 360 Netlab croient également que les attaques de pirates JHT ne sont pas destinées à tirer parti d'une vulnérabilité particulière, mais ont été déclenchées par l'absence d'authentification dans le protocole Smart Install.
Les statistiques révèlent que plus de shodan 165,000 Les systèmes sont en cours d'exécution Exposed Smart Installer le client sur le port TCP 4786. Étant donné que la fonction est activée par défaut, admins devrait assurez-vous de limiter son accès par l'intermédiaire de listes de contrôle d'accès d'interface. Si la fonction n'est pas nécessaire du tout, il est préférable qu'il est généralement désactivée via la commande de configuration « sans vstack ».
Et enfin, même si les hacks JHT ne concernaient pas l'utilisation du bug CVE-2018-0171, admins sont toujours invités à appliquer immédiatement le patch.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: