Devido ao número de vulnerabilidades altamente críticas em alguns de seus produtos, A Cisco tem sido o centro das atenções no mundo do cibercrime. As últimas notícias sobre a empresa envolvem um novo grupo de hackers, JHT, que sequestrou com sucesso uma série de dispositivos Cisco. Os dispositivos pertencem a organizações na Rússia e no Irã.
Pelo visto, os hackers JHT deixaram uma mensagem nos dispositivos hackeados com o seguinte texto - “Não mexa com nossas eleições”. A mensagem também trazia uma bandeira americana em estilo ASCII art. De acordo com o Ministro iraniano de Comunicação e Tecnologia da Informação, MJ Azari Jahromi, alguns 3,500 comutadores de rede no país foram afetados. A boa notícia é que a maioria deles já voltou ao normal.
CVE-2018-0171 foi usado nos ataques do grupo de hackers JHT?
Nestes últimos ataques, a Cisco Smart Install Client foi direcionado. Smart Install é um recurso de configuração plug-and-play e de gerenciamento de imagem que fornece implantação zero-touch para novos switches. Graças a esta configuração, um interruptor pode ser transportado e colocado na rede, sem necessidade de qualquer configuração no dispositivo, Cisco explica.
Este recurso foi projetado para ajudar os administradores a configurar e implantar dispositivos Cisco remotamente, está habilitado por padrão nos switches Cisco IOS e Cisco IOS XE em execução na porta TCP 4786.
No início, pesquisadores pensaram que a vulnerabilidade CVE-2018-0171 foi aproveitada nesses ataques, ou o bug recentemente divulgado de execução remota de código no Cisco Smart Install Client.
A vulnerabilidade é resultado de uma validação imprópria de dados packer no Smart Client Instalar. Smart Install é um recurso de configuração plug-and-play e de gerenciamento de imagem que fornece implantação zero-touch para novos switches, Cisco explica. Graças a esta configuração, um interruptor pode ser transportado e colocado na rede, sem necessidade de qualquer configuração no dispositivo.
“Uma vulnerabilidade no recurso Smart Install do Cisco IOS Software e do Cisco IOS XE Software pode permitir um sistema não autenticado, atacante remoto para acionar uma recarga de um dispositivo afetado, resultando em uma negação de serviço (DoS) condição, ou para executar código arbitrário em um dispositivo afetado ”, pesquisadores recentemente relatado.
Cliente Cisco Smart Install mal utilizado
Contudo, Acontece que os ataques envolveram o mero uso indevido dos dispositivos visados, não é um exploit de vulnerabilidade. Cisco diz que o uso indevido é o contorno mais possível porque os dispositivos hackeados foram reiniciados e indisponíveis. A forma como o ataque foi realizado por sobrescrever a configuração do dispositivo exibe a possibilidade de um uso indevido do protocolo Smart Install.
Pelo visto, este protocolo pode ser abusado para modificar a configuração do servidor TFTP, exfiltrar arquivos de configuração via TFTP, modificar o arquivo de configuração, substitua a imagem IOS, e configurar contas, permitindo a execução de comandos IOS, Cisco diz em um consultivo.
além disso, pesquisadores de Qihoo 360 A Netlab também acredita que os ataques de hacking JHT não pretendiam alavancar uma vulnerabilidade específica, mas foram acionados pela falta de autenticação no protocolo Smart Install.
As estatísticas do Shodan revelam que durante 165,000 os sistemas são expostos ao executar o Smart Install Client na porta TCP 4786. Uma vez que o recurso está habilitado por padrão, os administradores deveriam certifique-se de limitar seu acesso via interface de listas de controle de acesso. Se o recurso não for necessário, é melhor que seja geralmente desabilitado através do comando de configuração “no vstack”.
E por fim, mesmo que os hacks JHT não envolvam o uso do bug CVE-2018-0171, os administradores ainda devem aplicar o patch imediatamente.