Vulnerabilidade do Smart Install

Invasores estão explorando um problema de “uso indevido de protocolo” no Smart Install Client da Cisco para invadir a infraestrutura de ambientes críticos, de acordo com pesquisadores do grupo Talos Intelligence da Cisco.

Os pesquisadores dizem que os atacantes estão ligados a hackers e apontam para o alerta recente do US CERT, detalhando suspeitas de ataques do governo russo a agências e organizações dos EUA nos setores de energia, nuclear, instalações comerciais, água, aviação e manufatura. A Symantec refere-se a esse grupo de hackers como Dragonfly.

O alerta da Cisco sobre o Smart Install Client, uma ferramenta para configurar rapidamente novos switches, vem uma semana depois de lançar um patch para uma falha crítica de execução remota de código que afeta o software.

Pesquisadores da empresa de segurança Embedi descobriram que milhões de dispositivos de rede da Cisco foram deixados vulneráveis ​​por uma porta TCP 4786 aberta.

A Cisco também percebeu um grande aumento no tráfego para a porta TCP 4786, que começou por volta de novembro de 2017 e depois disparou em abril de 2018.

No entanto, o principal impulso do novo alerta diz respeito a um comunicado da Cisco emitido em fevereiro de 2017, depois de descobrir um surto nas verificações de Internet (port scan) buscando instâncias do Smart Install que foram configuradas sem os controles de segurança apropriados.

Os invasores podem enviar mensagens do protocolo Smart Install buscando alterar o arquivo de configuração de inicialização, recarregá-lo e carregar uma nova imagem do software de rede IOS no dispositivo.

O invasor pode então fornecer instruções de linha de comando (CLI) nos switches que executam o IOS e o IOS XE. A Cisco na época disse que não era uma vulnerabilidade porque o protocolo Smart Install intencionalmente não requer autenticação.

“O protocolo Cisco Smart Install pode ser abusado para modificar a configuração do servidor TFTP, substituir arquivos de configuração via TFTP, modificar o arquivo de configuração, substituir a imagem do IOS e configurar contas”. Escreveu Nick Biasini, pesquisador do Talos na quinta-feira.

“Embora isso não seja uma vulnerabilidade no sentido clássico, o uso indevido deste protocolo é um vetor de ataque que deve ser mitigado imediatamente. Durante o final de 2017 e início de 2018, Talos observou invasores tentando identificar clientes com esta vulnerabilidade. Informações recentes aumentaram a urgência desta questão “.

Os pesquisadores da Talos descobriram recentemente que 168.000 sistemas estão potencialmente expostos devido a clientes Smart Install protegidos indevidamente.

Gráfico com o tráfego observado pelo Talos

A recomendação era que clientes da Cisco que aplicassem a atualização de segurança que corrige o problema do Smart Install da semana passada. No entanto, ele não viu esse vetor de ataque sendo explorado.

“Embora tenhamos observado apenas ataques que aproveitavam o problema de uso incorreto do protocolo, recentemente outra vulnerabilidade no Cisco Smart Install Client foi divulgada e apresentada sua correção.”

“Esta vulnerabilidade foi discutida publicamente e a prova de conceito foi demonstrada. Ao mesmo tempo em que mitiga o problema de uso indevido do protocolo, os clientes também devem aplicar novas correções.”

Pesquisadores Talos forneceram instruções para atenuar a ameaça neste link.

Publicado originalmente por Zdnet em 06 de Abril de 2018.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Open chat
1
Precisa de ajuda?
Olá, tudo bem? Precisa de mais informações?
Powered by