一部の製品には非常に重大な脆弱性が多数存在するため, シスコはサイバー犯罪の世界で注目を集めています. 会社に関する最新ニュースには、新しいハッキンググループが含まれます, JHT, さまざまなCiscoデバイスのハイジャックに成功しました. デバイスはロシアとイランの組織に属しています.
どうやら, JHTハッカーは、ハッキングされたデバイスに次のテキストを含むメッセージを残しました–「私たちの選挙を台無しにしないでください」. メッセージには、ASCIIアートスタイルのアメリカ国旗もありました. イランの通信情報技術大臣によると, MJアザリジャロミ, いくつか 3,500 国内のネットワークスイッチが影響を受けました. 良いニュースは、それらのほとんどがすでに正常に戻っているということです.
CVE-2018-0171はJHTハッキンググループ攻撃で使用されました?
これらの最新の攻撃では, the Cisco SmartInstallClientがターゲットになりました. Smart Installは、プラグアンドプレイ構成およびイメージ管理機能であり、新しいスイッチにゼロタッチ展開を提供します. この構成のおかげで, スイッチを出荷してネットワークに配置することができます, デバイスの設定は必要ありません, シスコは説明します.
この機能は、管理者がCiscoデバイスをリモートで設定および展開するのに役立つように設計されています, TCPポートで実行されているCiscoIOSおよびCiscoIOSXEスイッチではデフォルトで有効になっています 4786.
初めに, 研究者は、CVE-2018-0171の脆弱性がこれらの攻撃に利用されていると考えました, または、Cisco SmartInstallClientで最近公開されたリモートコード実行のバグ.
この脆弱性は、SmartInstallClientでのパッカーデータの不適切な検証の結果です。. Smart Installは、プラグアンドプレイ構成およびイメージ管理機能であり、新しいスイッチにゼロタッチ展開を提供します, シスコは説明します. この構成のおかげで, スイッチを出荷してネットワークに配置することができます, デバイスの設定は必要ありません.
「CiscoIOSソフトウェアおよびCiscoIOSXEソフトウェアのスマートインストール機能の脆弱性により、認証されていない可能性があります, 影響を受けるデバイスのリロードをトリガーするリモートの攻撃者, その結果、サービス拒否が発生します (DoS) 調子, または、影響を受けるデバイスで任意のコードを実行する」, 最近の研究者 報告.
CiscoSmartInstallクライアントの誤用
でも, 攻撃には、標的となるデバイスの単なる誤用が含まれていることが判明しました, 脆弱性の悪用ではありません. シスコによると、ハッキングされたデバイスがリセットされて使用できなくなったため、誤用が最も可能性の高い概要です。. 攻撃が実行された方法 デバイス構成を上書きする SmartInstallプロトコルの誤用の可能性を示しています.
どうやら, このプロトコルは、TFTPサーバー設定を変更するために悪用される可能性があります, TFTPを介して設定ファイルを盗み出す, 構成ファイルを変更する, IOSイメージを置き換えます, アカウントを設定します, IOSコマンドの実行を可能にする, シスコは アドバイザリー.
さらに, Qihooの研究者 360 Netlabはまた、JHTハッキング攻撃は特定の脆弱性を利用することを意図したものではなく、SmartInstallプロトコルでの認証の欠如によって引き起こされたと考えています。.
Shodanの統計によると 165,000 システムは、TCPポートを介してSmartInstallClientを実行して公開されています 4786. この機能はデフォルトで有効になっているため, 管理者は アクセスを制限するようにしてください インターフェイスアクセスコントロールリスト経由. 機能がまったく必要ない場合, 通常、「novstack」構成コマンドを使用して無効にすることをお勧めします。.
そして最後に, JHTハックにはCVE-2018-0171バグの使用は含まれていませんでしたが, 管理者はまだパッチをすぐに適用するように促されます.