A Cisco Smart Install Protocol visszaélésre ad lehetőséget

Több biztonsági kutató is beszámolt a közelmúltban arról, hogy a Cisco Smart Install (SMI) protocol-t használva, egy nem hitelesített távoli támadó egy új IOS image-t betöltve képes lehet a startup-config beállításokat módosítani és a készüléket újraindítani. Ezen kívül a rosszindulatú felhasználó képes lehet magasabb jogokkal CLI parancsokat futtatni azokon a switch-eken, amin Cisco IOS vagy IOS XE fut.

A SMI Protocol a director (központi switch) üzenetét a client hitelesítés nélkül elfogadja. Ennek következtében a támadó által létrehozott, speciálisan szerkesztett SMI protocol üzenetekkel az alábbiakat lehet elérni:

  • Megváltoztatható a TFTP szerver elérhetősége a client-nél
  • Ennek következtében TFTP szerverről harmadik fél által létrehozott IOS image-t töltheti be a client
  • A támadó által üzemeltetett TFTP szerverre lementhetőek az eredeti startup-config beállítások, majd a támadás végén ezek visszamásolhatóak
  • Az eredeti startup-config beállításokat rosszindulatú konfigurációra cserélve elérhető, hogy az eszköz bizonyos időintervallumban újrainduljon
  • A támadó képes lehet magasabb jogokkal CLI parancsokat futtatni, azokon a switch-eken, amin Cisco IOS 15.2(2)E vagy későbbi és IOS XE vagy későbbi verzió fut

Mivel a protocol-t támogató switch-eken az SMI gyárilag be van kapcsolva, ezért amennyiben nincs használatban, a fentiekre tekintettel javasolt ezt a beállítást kikapcsolni. Ez két módon tehető meg:

  • a no vstack paranccsal
  • azon eszközökön, ahol a no vstack parancs nem érhető el, lehetőség van Interface access control list definiálására (ACL).

A Cisco ezzel párhuzamosan frissítette a kiadott Smart Install Configuration Guide-ját hozzáadva néhány biztonsági tanácsot.

Az esettel kapcsolatban tömeges kihasználásról a Kormányzati Eseménykezelő Központ nem rendelkezik információval, azonban ennek ellenére javasolt a biztonsági intézkedések megtétele.

Forrás