چند روز اخیر شاهد بودیم که یک گروه نفوذ با نام JHT تعداد زیادی از سوئیچ های سیسکو در کشور عزیزمان ایران و روسیه را هدف قرار داده است. در ادامه ی این حمله، در صفحه ی کامپیوترها پرچم آمریکا نمایش داده شده و پیامی با عنوان در انتخابات ما دخالت نکنید! نشان داده می شود.
محمد جواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات اعلام کرده در ایران نزدیک به ۳۵۰۰ سوئیچ شبکه تحت تاثیر قرار گرفته بودند که در حال حاضر این دستگاه ها بازیابی شدهاند. نفوذگران از یک آسیبپذیری در ویژگی Cisco Smart Install Client بهرهبرداری کردهاند که بهطور پیشفرض بر روی سوئیچهای Cisco IOS و IOS XE فعال بوده و بر روی پورت ۴۷۸۶ پروتکل TCP کار میکند.
برخی از محققان معتقدند که نفوذگران از یک آسیبپذیری اجرای کد از راه دور در این ویژگی با شناسهی CVE-2018-0171 بهرهبرداری کردهاند. بهرهبرداری از این آسیبپذیری کنترل کامل دستگاه را در اختیار نفوذگران قرار میدهد. با این حال به دلیل اینکه در این نفوذ، دستگاهها بازنشانی شده و از دسترس خارج میشوند، محققان سیسکو معتقدند که نفوذگران بهجای بهرهبرداری از این آسیبپذیری که به تازگی شناسایی شده، از پروتکل Smart Install بهرهبرداری کردهاند و توانستهاند فایل پیکربندی را بازنویسی کنند.
در توضیحات شرکت سیسکو آمده است: «مهاجمان میتوانند برای تغییر در تنظیمات سرورهای TFTP، استخراج اطلاعات از فایلهای پیکربندی TFTP، تعویض IOS image، ایجاد حساب کاربری جدید و اجرای دستورات IOS از پروتکل Smart install بهرهبرداری کنند.»
محققان از یک شرکت امنیتی چینی با نام Qihoo 360 نیز تایید کردهاند در حملهای که توسط گروه JHT انجام شده، از آسیبپذیری که به تازگی شناسایی شده بود، بهرهبرداری نشده است و دلیل حمله و موفقیت آن، نبود احراز هویت در پروتکل Smart install بوده که این اشکال در ماه مارس سال گذشته اطلاعرسانی شده است.
اسکنهایی که با ابزار Shodan انجام شده، نشان میدهد در حال حاضر ۱۶۵ هزار دستگاه که بر روی آنها Cisco Smart Install Client اجرا میشود و با پورت ۴۷۸۶ TCP در سطح اینترنت قابل دسترسی هستند. هرچند پروتکل Smart Install Client برای مدیریت دستگاهها از راه دور طراحی شدهاند و مدیران باید این ویژگی را بر روی سوئیچهای خود فعال کنند ولی اکیدا به مدیران سیستمها توصیه میشود با استفاده از فهرستهای کنترل دسترسی، دسترسی به سیستم را محدود کنند.
در سیستمهایی که از این ویژگی استفادهای نمیشود، به مدیران توصیه میشود با دستور no vstack این قابلیت را غیرفعال کنند. هرچند در حملات اخیر از آسیبپذیری جدید CVE-2018-0171 استفادهای نشده است ولی باز هم توصیه میشود تا بهروزرسانیها و وصلههای این آسیبپذیریها را دریافت و نصب کنید. کدهای اثبات مفهومی مربوط به این آسیبپذیری جدید، منتشر شده و اگر آنها را وصله نکنید، ممکن است در آینده هدف حملهی جدیدی قرار بگیرد که از این آسیبپذیری بهرهبرداری میکند.
