• هرگز با احمق ها بحث نکنید.آنها اول شما را تا سطح خودشان پایین می کشند، بعد با تجربه ی یک عمر زندگی در آن سطح، شما را شکست می دهند! - مارک تواین
  • 1
  • 2
  • 3
  • 4
  • 5

حمله به تجهیزات سیسکو CVE-2018-0171

اخبار و اطلاعات فناوری
اکسپلویت سویچ های سیسکو از نوع اجرای کد از راه دور، همکنون باعث اختلال گسترده در برخی از شبکه های حیاطی کشور شده است در این مدل حمله هکر با اجرای کد اکسپلویت  تمامی برنامه ریزی روتر و سویچ را به حالت پیشفرض برمیگرداند.
این آسیب پذیری طیف زیادی از محصولات این شرکت را در بر میگیرد. و بایستی به سرعت برطرف شود. خلاصه این رویداد ناگوار بدین شرح است.
این باگ در 28 ماه March توسط سیسکو Patch شده بود و در در 29 ماه March شاهد پخش شدن Exploit آن بودیم. هر چند این وظیفه مراکز نظارتی و بالادستی بود که این باگ را اعلام کنند اما این اتفاق رخ نداد.

۱-مشکل بواسطه استفاده از  Cisco Smart Install می باشد که به کمک آن و از طریق TFTP می توان تجهیزات سیسکو را به شکل خودکار پیکربندی، و سیستم عامل مورد نظر را بارگذاری نمود.
۲-به کمک سوء استفاده از TFTP Server و بارگذاری پیکربندی های خراب یا دستکاری شده و یا IOS های خراب هکرها توانسته اند تجهیزات زیرساخت برخی کشورها که از این سرویس استفاده می کنند را دچار مشکل کنند.
۳-مشکل می تواند به شکل بارگزاری پیکربندی متفاوت با پیکربندی مدیر شبکه و یا با بارگزاری سیستم عامل متفاوت خود را نشان دهد.و در برخی نقاط عدم بوت دستگاه سیسکو و یا برگشت به تنظیمات اولیه دستگاه مشاهده شده است.
۴-بالغ بر ۱۶۸۰۰۰ سیستم توسط تیم امنیتی Talos شناسائی شده اند که این ضعف امنیتی را دارند.
۵-سیسکو در دو بازه زمانی اقدام به ترمیم و اعلام هشدار در این مورد نموده است که متاسفانه توسط بسیاری از مدیران شبکه جدی گرفته نشده بود.
۶-برای جلوگیری و کاهش این مشکل ابتدا در دستگاه خود دستور ذیل را زده تا از پیاده سازی smart install مطمئن شوید:

switch1 # show vstack config
 Role: Client (SmartInstall enabled)
switch2 # show vstack config
Capability: Client
 Oper Mode: Enabled
 Role: Client

و بعد با نوشتن یک ACL شبیه ACL ذیل جلوی دسترسی از منابع غیر معتبر را بگیرید.

ip access-list extended SMI_HARDENING_LIST
     permit tcp host 192.168.10.10 host 192.168.10.200 eq 4786
     deny tcp any any eq 4786
     permit ip any an

پورت TCP شماره 4786 را صرفا برای دستگاه TFTP معتبر شرکت خود باز و برای بقیه سیستم ها مسدود کنید.
و در پایان آخرین patch ها و اطلاعیه های سیسکو را نصب و عملیاتی کنید.

مطالب و دوره های آموزشی مرتبط
مطالب و دوره های آموزشی مرتبط
مطالب و دوره های آموزشی مرتبط

برچسب ها: Cisco, Attackers, CVE-2018-0171