نفوذگران چگونه سوئیچ‌های سیسکو در ایران و روسیه را هدف قرار دادند؟

نفوذگران چگونه سوئیچ‌های سیسکو در ایران و روسیه را هدف قرار دادند؟

سه شنبه, ۲۱ فروردین, ۱۳۹۷ ساعت ۹:۱۱

 

چند روز اخیر شاهد بودیم که یک گروه نفوذ با نام  JHT تعداد زیادی از سوئیچ های سیسکو در کشور عزیزمان ایران و روسیه را هدف قرار داده است. در ادامه ی این حمله، در صفحه ی کامپیوترها پرچم آمریکا نمایش داده شده و پیامی با عنوان در انتخابات ما دخالت نکنید! نشان داده می شود.


محمد جواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات اعلام کرده در ایران نزدیک به ۳۵۰۰ سوئیچ شبکه تحت تاثیر قرار گرفته بودند که در حال حاضر این دستگاه ها بازیابی شده‌اند. نفوذگران از یک آسیب‌پذیری در ویژگی Cisco Smart Install Client بهره‌برداری کرده‌اند که به‌طور پیش‌فرض بر روی سوئیچ‌های Cisco IOS و IOS XE فعال بوده و بر روی پورت ۴۷۸۶ پروتکل TCP کار می‌کند.


برخی از محققان معتقدند که نفوذگران از یک آسیب‌پذیری اجرای کد از راه دور در این ویژگی با شناسه‌ی CVE-2018-0171 بهره‌برداری کرده‌اند. بهره‌برداری از این آسیب‌پذیری کنترل کامل دستگاه را در اختیار نفوذگران قرار می‌دهد. با این حال به دلیل اینکه در این نفوذ، دستگاه‌ها بازنشانی شده و از دسترس خارج می‌شوند، محققان سیسکو معتقدند که نفوذگران به‌جای بهره‌برداری از این آسیب‌پذیری که به تازگی شناسایی شده، از پروتکل Smart Install بهره‌برداری کرده‌اند و توانسته‌اند فایل پیکربندی را بازنویسی کنند.


در توضیحات شرکت سیسکو آمده است: «مهاجمان می‌توانند برای تغییر در تنظیمات سرورهای TFTP، استخراج اطلاعات از فایل‌های پیکربندی TFTP، تعویض IOS image، ایجاد حساب کاربری جدید و اجرای دستورات IOS از  پروتکل Smart install بهره‌برداری کنند.» 


محققان از یک شرکت امنیتی چینی با نام Qihoo 360 نیز تایید کرده‌اند در حمله‌ای که توسط گروه JHT انجام شده، از آسیب‌پذیری که به تازگی شناسایی شده بود، بهره‌برداری نشده است و دلیل حمله و موفقیت آن، نبود احراز هویت در پروتکل Smart install بوده که این اشکال در ماه مارس سال گذشته اطلاع‌رسانی شده است. 


اسکن‌هایی که با ابزار Shodan انجام شده، نشان می‌دهد در حال حاضر ۱۶۵ هزار دستگاه که بر روی آن‌ها Cisco Smart Install Client اجرا می‌شود و با پورت ۴۷۸۶ TCP در سطح اینترنت قابل دسترسی هستند. هرچند پروتکل Smart Install Client برای مدیریت دستگاه‌ها از راه دور طراحی شده‌اند و مدیران باید این ویژگی را بر روی سوئیچ‌های خود فعال کنند ولی اکیدا به مدیران سیستم‌ها توصیه می‌شود با استفاده از فهرست‌های کنترل دسترسی، دسترسی به سیستم را محدود کنند.


در سیستم‌هایی که از این ویژگی استفاده‌ای نمی‌شود، به مدیران توصیه می‌شود با دستور no vstack این قابلیت را غیرفعال کنند. هرچند در حملات اخیر از آسیب‌پذیری جدید CVE-2018-0171 استفاده‌ای نشده است ولی باز هم توصیه می‌شود تا به‌روزرسانی‌ها و وصله‌های این آسیب‌پذیری‌ها را دریافت و نصب کنید. کدهای اثبات مفهومی مربوط به این آسیب‌پذیری جدید، منتشر شده و اگر آن‌ها را وصله نکنید، ممکن است در آینده هدف حمله‌ی جدیدی قرار بگیرد که از این آسیب‌پذیری بهره‌برداری می‌کند. 

 

منبع
 


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 × پنج =