سیسکو: سوئیچ‌های محافظت نشده، زیرساخت‌های حیاتی را در معرض حمله قرار می‌دهند

کمیته رکن چهارم – سیسکو به سازمان‌ها توصیه کرده است تا اطمینان حاصل کنند که امکان نفوذ به سوئیچ‌های آن‌ها از طریق پروتکل Smart Install وجود ندارد. این غول شبکه صدها هزار دستگاه آسیب‌پذیر را شناسایی کرده و هشدار داده است که زیرساخت‌های حیاتی ممکن است در معرض خطر باشند.

به گزارش کمیته رکن چهارم،Cisco Smart Install Client یک ابزار قدیمی است که بدون نیاز به لمس، نصب سوئیچ‌های جدید سیسکو را فراهم می‌کند. تقریبا یک سال پیش و به‌دنبال افزایش پویش‌های اینترنتی برای شناسایی دستگاه‌های محافظت نشده‌ای که قابلیت Smart Install را فعال کرده‌اند، این شرکت در مورد سوء استفاده از این پروتکل به مشتریان هشدار داده و برای شناسایی دستگاه‌هایی که از این پروتکل استفاده می‌کنند نیز یک ابزار متن‌باز در دسترس قرار داد.

مهاجمان می‌توانند از پروتکل Smart Install به‌منظور تغییر پرونده‌ی پیکربندی بر روی سوئیچ‌های اجراکننده‌ی نرم‌افزارهای IOS و IOS XE سوء استفاده کنند، دستگاه را مجددا بارگیری کنند، یک تصویر جدید IOS بارگذاری کرده و دستورات دارای امتیاز بالا را اجرا کنند. این حملات از ناتوانی بسیاری از سازمان‌ها در ایمن کردن پیکربندی سوئیچ‌های خود ناشی می‌شوند.

به گفته‌ی سیسکو، گروه‌های خبره‌ی دولتی نیز از جمله عوامل تهدیدکننده‌ی مرتبط با روسیه مانند Dragonfly، Crouching Yeti و Energetic Bear که به هدف قرار دادن زیرساخت‌های حیاتی شناخته شده‌اند، از پروتکل Smart Installer سوء استفاده می‌کنند.

سیسکو به‌‌دنبال افشای یک آسیب‌پذیری بحرانی که اخیرا توسط پژوهش‌گران Embedi کشف شده است، یک‌بار دیگر درمورد خطرات مرتبط با Smart Install به سازمان‌ها هشدار داد.

این آسیب‌پذیری که یک اشکال سرریز بافر مبتنی بر پشته بوده و با شناسه‌ی CVE-۲۰۱۸-۰۱۷۱ ردیابی می‌شود، به مهاجم از راه دور و غیرقابل شناسایی اجازه می‌دهد تا یک وضعیت منع سرویس (DoS) ایجاد کرده و یا با ارسال پیام‌های نصب Smart Install به یک دستگاه آسیب‌دیده بر روی درگاه ۴۷۸۶ پروتکل TCP، کدهای دلخواه را اجراء کند. پژوهش‌گران اعلام کردند که تقریبا ۲۵۰ هزار دستگاه آسیب‌پذیر سیسکو با درگاه ۴۷۸۶ پروتکل TCP که این درگاه به‌صورت پیش‌فرض باز می‌باشد، را شناسایی کرده‌اند.

در پویش‌های اینترنتی سیسکو، ۱۶۸ هزار سامانه به‌دلیل استفاده از Cisco Smart Install Client، آسیب‌پذیر اعلام شده‌اند. این شرکت می‌گوید که از سال ۲۰۱۶ میلادی و پس از شناسایی بیش از ۲۵۰ هزار سامانه‌ی آسیب‌پذیر توسط شرکت امنیتی Tenable، تعداد دستگاه‌های آسیب‌دیده به میزان قابل‌توجهی کاهش یافته است.

گروه سیسکو تالوس در اواخر سال ۲۰۱۷ و اوایل سال ۲۰۱۸ میلادی، متوجه شد که مهاجمان به‌طور فزاینده‌ای به‌دنبال کارخواه‌های با پیکربندی نادرست هستند. اکنون که آسیب‌پذیری CVE-۲۰۱۸-۰۱۷۱ کشف شده و Embedi نیز جزئیات فنی و کد اثبات مفهومی(PoC) آن را منتشر کرده است، خطر این حملات حتی بیشتر افزایش یافته است.

شواهدی وجود ندارد که آسیب‌پذیری CVE-۲۰۱۸-۰۱۷۱ در حملات مخرب مورد بهره‌برداری قرار گرفته باشد. سیسکو همچنین اشاره کرد که احتمالا بیشتر فعالیتهای مشاهده شده مخرب نیستند، اما افزایش چشمگیر آن‌ها در پویش‌ها قابل‌توجه است.

این فروشنده پیشنهادهای خود را برای جلوگیری از حملات احتمالی ارائه داده و به مشتریان توصیه کرده است که اگر نیازی به Smart Install Client ندارند، آن را از دستگاه‌های خود حذف کنند. Smart Install به‌طور پیش‌فرض بر روی سوئیچ‌هایی که به‌روزرسانی اخیر را دریافت نکرده‌اند، فعال است. در به‌روزرسانی جدید، زمانی‌که از این ویژگی استفاده نشود، به‌صورت خودکار غیرفعال خواهد شد.

Cylance اخیرا گزارش داد که گروه جاسوسی Dragonfly یک مسیریاب مرکزی سیسکو را در یک کنگره‌ی انرژی دولتی در ویتنام به سرقت برده و آن را برای به‌دست آوردن گواهی‌نامه‌هایی که بعدا در حمله به شرکت‌های انرژی انگلیس استفاده شدند، مورد بهره‌برداری قرار داده است. هنوز مشخص نیست که Smart Install نیز در این حملات مورد استفاده قرار گرفته است یا خیر.