info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

چه اتفاقی برای اینترنت افتاده است؟ حملاتی علیه سوییچ‌های سیسکو!

خلاصه: احتمالا اتصال اینترنت شما به‌صورت ناگهانی قطع شده است یا شما نمی‌توانید وب‌سایت مورد نظر خود را مشاهده کنید. بر اساس منابع موجود  دلیل آن یک حمله‌ی بزرگ علیه سوییچ‌های سیسکو می‌باشد. این سوییچ‌ها درمراکز داده‌ی سراسر جهان استفاده می‌شوند. یک عامل تهدید ناشناخته از یک آسیب‌پذیری در بخشی از نرم‌افزار، که Cisco Smart Install Client نامیده می‌شود بهره‌برداری می‌کند، با این کار  امکان اجرای کد دلخواه بر روی سوییچ‌های آسیب‌پذیر را فراهم می‌شود.

احتمالا اتصال اینترنت شما هم به‌صورت ناگهانی قطع شده یا نمی‌توانید وب‌سایت مورد نظر خود را مشاهده کنید. بر اساس منابع موجود، همه ی این حوادث به خاطر یک حمله‌ی بزرگ علیه سوییچ‌های سیسکو رخ داده است. این سوییچ‌ها در مراکز داده‌ی سراسر جهان استفاده می‌شوند.

یک بات علیه سیسکو

به‌نظر می‌رسد که این حمله به روش زیر انجام می‌شود:

 یک عامل تهدید ناشناخته از یک آسیب‌پذیری در قابلیتی، که Cisco Smart Install Client نامیده می‌شود بهره‌برداری می‌کند، با این کار امکان اجرای کد دلخواه بر روی سوییچ‌های آسیب‌پذیر فراهم شده، سپس  بدافزارها، Cisco IOS را بر روی سوییچ‌ها بازنویسی و فایل پیکربندی را تغییر می‌دهند، بدین ترتیب سوییچ مورد نظر از دسترس خارج می‌شود.
آن‌ها پیغامی با عنوان " Do not mess with our elections" را نیز نمایش می‌دهند. 

به‌نظر می‌رسد که این بات سوییچ‌های سیسکو آسیب‌پذیر را از طریق موتور جستجوی Shodan یافته و به بهره‌برداری از آسیب‌پذیری آن‌ها می‌پردازد. ( یا شاید از ابزار خود سیسکو برای جستجوی سوییچ‌های آسیب‌پذیر سیسکو استفاده می‌کند.)

به‌گفته‌ی سیسکوتالوس، بیش از ۱۶۸۰۰۰ دستگاه بر روی shodan یافته شده است که تحت تاثیر این آسیب‌پذیری قرار دارند. به‌نظر می‌رسد که این حمله بیشتر بخش‌های روسی زبان را هدف قرار می‌دهد، اما بخش‌های دیگر نیز تحت تاثیر قرار می‌گیرند.

برای مدیران سیستم‌ها: چگونگی مقابله

Smart Install امکان پیکربندی راه دور و مدیریت OS بر روی سوییچ‌های سیسکو را فراهم می کند. برای فراهم کردن این امکان باید Smart Install Client فعال شده و پورت TCP 4786  باز شود. (هردوی این‌ها به‌صورت پیشفرض فعال شده‌اند.)

برای بررسی فعال بودن می‌توانید دستور "show vstack config" را بر روی سوییچ اجرا کنید،. اگر سوییچ پاسخ مثبت دهد، به‌این معنی است که Smart Install فعال شده است و بهتر است که آن را با دستور no vstack غیرفعال کنید.

اگر کسب‌وکار شما اجازه‌ی غیرفعال کردن Smart Install را نمی‌دهد، یا نسخه‌ی سیستم‌عامل سیسکو شما دستور "no vstack" را پشتیبانی نمی‌کند، بهتر است که اتصالات پورت ۴۷۸۶ را محدود کنید. سیسکو پیشنهاد می‌دهد که این کار را با Interface Access Control Listها انجام دهید، بدین ترتیب فقط تجهیزات مجاز می‌توانند از طریق این پورت به سوییچ‌های شما متصل شوند.

در مثال زیر این تجهیزات بر روی آدرس  ۱۰.۱۰.۱۰.۱ قرار گرفته‌اند.

مثال:

ip access-list extended SMI_HARDENING_LIST

permit tcp host 10.‎10.‎10.‎1 host 10.‎10.‎10.‎200 eq 4786

deny tcp any any eq 4786

permit ip any any

 

برای اطلاعات بیشتر در مورد این آسیب‌پذیری می‌توانید به این صفحه مراجعه کنید.

 

 

مطالب مرتبط

تحت نظارت وف ایرانی