MINACCIA RIMOZIONE

3,500 Cisco Switch di rete in Iran Hacked by JHT Hacking Group

A causa del numero di vulnerabilità molto gravi in ​​alcuni dei suoi prodotti, Cisco è stata al centro dell'attenzione nel mondo criminalità informatica. Le ultime notizie riguardanti l'azienda prevede un nuovo gruppo di hacking, J ः t, che dirottato con successo una serie di dispositivi Cisco. I dispositivi appartengono a organizzazioni in Russia e Iran.

Apparentemente, gli hacker JHT lasciato un messaggio sui dispositivi hacked con il seguente testo - “Non si scherza con le nostre elezioni". Il messaggio ha avuto anche una bandiera americana in stile arte ASCII. Secondo la comunicazione iraniana e ministro dell'Informazione Tecnologia, MJ Azari Jahromi, alcuni 3,500 switch di rete del paese sono state colpite. La buona notizia è che la maggior parte di loro sono già stati riportati alla normalità.

Story correlati: Cisco Bugs CVE-2018-0151, CVE-2018-171, CVE-2018-015. Patch Ora!

È stato CVE-2018-0171 Utilizzato negli attacchi JHT Hacking Gruppo?

In questi ultimi attacchi, il Cisco Smart Install client è stato preso di mira. Smart Install è una funzione di configurazione plug-and-play e di gestione delle immagini che fornisce distribuzione zero-touch per i nuovi switch. Grazie a questa configurazione, un interruttore può essere spedito e collocato nella rete, senza bisogno di alcuna configurazione del dispositivo, Cisco spiega.

Questa caratteristica che è stato progettato per aiutare gli amministratori di configurare e distribuire dispositivi Cisco in remoto, è abilitato di default su Cisco IOS e IOS XE interruttori esecuzione sulla porta TCP 4786.

All'inizio, ricercatori hanno pensato che la vulnerabilità CVE-2018-0171 è stato sfruttato in questi attacchi, o l'esecuzione di codice remoto bug recentemente rivelato in Cisco Smart Install client.

La vulnerabilità è il risultato di una convalida errata dei dati packer nel Installa Smart Client. Smart Install è una funzione di configurazione plug-and-play e di gestione delle immagini che fornisce distribuzione zero-touch per i nuovi switch, Cisco spiega. Grazie a questa configurazione, un interruttore può essere spedito e collocato nella rete, senza bisogno di alcuna configurazione del dispositivo.

“Una vulnerabilità nel Smart Install caratteristica del software Cisco IOS e software Cisco IOS XE potrebbe consentire a un non autenticato, attaccante remoto per attivare una ricarica di un dispositivo interessato, causando una negazione di servizio (DoS) condizione, o per eseguire codice arbitrario su un dispositivo colpito”, I ricercatori hanno recentemente segnalati.

Cisco Smart Install client Misused

Tuttavia, si scopre che gli attacchi hanno riguardato la mera uso improprio dei dispositivi di destinazione, Non una vulnerabilità exploit. Cisco afferma che l'abuso è il più possibile contorno perché i dispositivi sono stati hacked ripristinati e resi disponibili. Il modo in cui l'attacco è stato effettuato da sovrascrivendo la configurazione del dispositivo presenta la possibilità di un uso improprio del protocollo Smart Install.

Story correlati: CVE-2018-0141 Cisco vulnerabilità potrebbe portare al controllo completo del sistema

Apparentemente, questo protocollo può essere oggetto di abusi per modificare l'impostazione del server TFTP, trapelare i file di configurazione via TFTP, modificare il file di configurazione, sostituire l'immagine IOS, e impostare gli account, permette l'esecuzione di comandi IOS, Cisco dice in un consultivo.

Inoltre, ricercatori Qihoo 360 Netlab credono anche che gli attacchi di hacking JHT non erano destinati a sfruttare una particolare vulnerabilità, ma sono stati innescati dalla mancanza di autenticazione Smart Install protocollo.

le statistiche rivelano che oltre il Shodan 165,000 sistemi sono esposti in esecuzione Installa Smart Client sulla porta TCP 4786. Dal momento che la funzione è attivata per impostazione predefinita, amministratori dovrebbero fare in modo di limitarne l'accesso tramite elenchi di controllo di accesso di interfaccia. Se la funzione non è necessaria a tutti, è meglio che è generalmente disabilitato tramite il comando di configurazione “no vstack”.

e infine, anche se gli hack JHT non comportano l'uso del bug CVE-2018-0171, amministratori sono ancora sollecitati ad applicare immediatamente la patch.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...