Магазин / аукцион / FPR / donate / услуги / RSS / распечатать / вход 
Мой мир
Вконтакте
Одноклассники
Google+

[28 апреля 2018 | 10 мая 2018 | 15 мая 2018]

Уязвимость в Cisco Smart Install Client

Отгремел большой скандал с глобальной хаккерской атакой на оборудование Cisco. Теперь можно посмотреть на результаты и проанализировать ситуацию. Что вообще произошло? Хакеры воспользовались функцией автоматической настройки оборудования, которое используется согласно концепции Zero Touch Deployment. Эта концепция позволяет провести автоматическое конфигурирование оборудования перед использованием. Соответственно данная концепция гласит о том, что у оборудования до его начального конфигурирования данная функция включена. Я ради интереса поискал в русскоязычном интернете информацию о работе с этой функцией, в Cisco она называется Smart Install, и её нет. Нет даже вопросов о том как она настраивается. Из этого можно сделать вывод о том, что в нашем сегменте данная функция не востребована или про неё попросту никто ничего не знает. А раз про неё никто не знает, то её никто не отключает.

Кто попадает в зону риска? В зону риска попадает оборудование у которого включена клиентская часть Smart Install. Собственно существует две части Smart Install: сервер и клиент. Серверная часть рассылает настройки по сети, а клиентская их безоговорочно применяет. Обычно в рассылке указываются ссылки на TFTP-сервер с указанием образа прошивки и файла настроек. Это крайне удобно, достаточно подключить оборудование к сети и оно подхватит свои настройки. И вот в этом-то и оказалась уязвимость данного оборудованиия. Точнее не уязвимость, а злонамеренное использование протокола. Клиентская часть стоит в основном на управляемых свитчах. Из этого следует, что под атаку попали управляемые свитчи производства Cisco с белыми IP-адресами. В каком случае может произойти подобная ситуация? Тут два варианта: операторское оборудование и датацентры.

Что теперь делать? Обычные предприятия у которых всё сетевое оборудование скрытое за маршрутизаторами уже защищено от внешних атак. Датацентры могут пересмотреть политику использования IP-адресов. А операторы связи всё-равно настраивают своё оборудование до того как установят на обслуживание, то есть они с легкостью могут отключить саму функцию. В случае невозможности отказаться от этой технологии достаточно настроить списки доступа.

Ради интереса можно запустить следующую команду:

switch# show vstack config

Если ваш роутер или свитч поддерживают данную функцию, то она включена. Вот пример на моём роутере Cisco 1841 с IOS 15 версии.

border#show vstack config
 Role: Not Director
 Vstack Director IP address: 0.0.0.0

 *** Following configurations will be effective only on director ***
 Join Window Details:
         Window: Open (default)
         Operation Mode: auto (default)
 Vstack Backup Details:
         Mode: On (default)
         Repository:

Эту функцию можно отключить командой:

no vstack

Но данная функция доступна не на всём оборудовании, а так же есть случаи когда данная команда работает до перезагрузки оборудования и после перезагрузки она опять активируется. В таком случае нам помогут списки доступа повешенные на интерфейсы данного оборудования. Для ограничения доступа нам достаточно заблокировать работу порта TCP 4786 для посторонних. Для этого надо создать вот такую конструкцию:

ip access-list extended SMI_HARDENING_LIST
 permit tcp host 192.168.10.1 host 192.168.10.200 eq 4786
 deny tcp any any eq 4786
 permit ip any any

Информация о данной уязвимости была опубликована на сайте Cisco 14 февраля 2017 года, а последние обновления (на момент написания статьи) 16 апреля 2018 года. cisco-sa-20170214-smi.

Чем грозит использование данной уязвимости? Незащищенному оборудованию могут подменить файл конфигурации, что приведет либо к компрометации данных, либо к неработоспособности сети.

• Перейти в архив


Комментарии

Включите JavaScript для комментирования.


Сообщайте нам о замеченных ошибках на: web@orcinus.ru. Все пожелания и советы будут учтены при дальнейшем проектировании сайта... Мы готовы сотрудничать со всеми желающими. Мнение авторов может не совпадать с точкой зрения редакции сайта www.orcinus.ru. В некоторых случаях, мнение автора может не совпадать с мнением автора! Phone: +7-902-924-70-49.

Рейтинг@Mail.ru LiveInternet Rambler's Top100 Яндекс.Метрика