Als gevolg van het aantal zeer kritische kwetsbaarheden in sommige van zijn producten, Cisco heeft het middelpunt van de aandacht in de cybercrime hele wereld. Het laatste nieuws over het bedrijf gaat om een nieuwe hacking groep, J ः t, die met succes gekaapt een reeks van Cisco-apparaten. De apparaten behoren tot organisaties in Rusland en Iran.
Blijkbaar, de JHT hackers liet een bericht op de gehackte toestellen met de volgende tekst - “Do not mess with onze verkiezingen". Het bericht had ook een Amerikaanse vlag in ASCII-art stijl. Volgens de Iraanse Communicatie en Informatie Technologie minister, MJ Azari Jahromi, sommige 3,500 netwerkswitches in het land werden getroffen. Het goede nieuws is dat de meeste van hen zijn al terug naar normaal gebracht.
Was CVE-2018-0171 Gebruikt in het JHT Hacking Group Attacks?
In deze nieuwste aanvallen, de Cisco Smart Install Client is gericht. Smart Install is een plug-and-play-configuratie en het beheer functie die zero-touch implementatie voor nieuwe switches biedt. Dankzij deze configuratie, een schakelaar kan worden verzonden en in het netwerk, zonder enige configuratie van het apparaat, Cisco legt.
Deze functie die is ontworpen om te helpen beheerders te configureren en implementeren van Cisco-apparaten op afstand, is standaard ingeschakeld op Cisco IOS en Cisco IOS XE-switches die op TCP-poort 4786.
Eerst, dachten onderzoekers dat de CVE-2018-0171 kwetsbaarheid is leveraged in deze aanvallen, of de recent vrijgegeven uitvoering van externe code bug in Cisco Smart Install Client.
De kwetsbaarheid is een gevolg van een onjuiste validatie van packer gegevens in de Smart Install Client. Smart Install is een plug-and-play-configuratie en het beheer functie die zero-touch implementatie voor nieuwe switches biedt, Cisco legt. Dankzij deze configuratie, een schakelaar kan worden verzonden en in het netwerk, zonder enige configuratie van het apparaat.
“Er is een beveiligingslek in de Smart Install kenmerk van Cisco IOS Software en Cisco IOS XE-software kan een niet-geverifieerde toestaan, externe aanvaller een herladen van een getroffen apparaat activeren, waardoor een denial of service (DoS) staat, of willekeurige code op een getroffen apparaat”, onderzoekers onlangs gerapporteerd.
Cisco Smart Install Client Misbruikt
Echter, het blijkt dat de aanslagen betrokken louter misbruik van de beoogde apparaten, niet een beveiligingslek. Cisco zegt dat het misbruik is de meest mogelijke omtrek, omdat de gehackte apparaten werden gereset en niet beschikbaar gemaakt. De manier waarop de aanslag werd uitgevoerd door het overschrijven van de configuratie-inrichting vertoont de mogelijkheid van misbruik van de Smart Install protocol.
Blijkbaar, Dit protocol kan worden misbruikt om de TFTP-server instelling te wijzigen, exfiltrate configuratiebestanden via TFTP, wijzigen van het configuratiebestand, Vervang het IOS, en het opzetten van accounts, rekening houdend met de uitvoering van IOS commando's, Cisco zegt in een adviserend.
Bovendien, onderzoekers van Qihoo 360 Netlab ook van mening dat de JHT aanvallen van hackers niet waren bedoeld om een bijzondere kwetsbaarheid te benutten, maar werden veroorzaakt door het ontbreken van authenticatie in de Smart Install protocol.
Shodan statistieken blijkt dat meer dan 165,000 systemen worden blootgesteld uitvoeren van de Smart Install Client via TCP-poort 4786. Aangezien de functie is standaard ingeschakeld, admins moet zorg ervoor dat de toegang te beveiligen via Interface access control lists. Als de functie niet nodig is op alle, het is beter dat het over het algemeen wordt uitgeschakeld via de “no vstack” configuratie command.
En tenslotte, hoewel de JHT hacks niet het gebruik van de CVE-2018-0171 bug was gemoeid, admins zijn nog steeds aangespoord om de patch onmiddellijk toe te passen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: