بر اساس گزارش تیم امنیتی Cisco Talos، نقص حیاتی در سوئیچ های سیسکو باعث حمله هکرها به زیرساختهای مهم در چندین کشور از جمله ایران شده و بسیاری از سایت های اینترنتی را از دسترس خارج کرده است.
بر اساس گزارشی که ساعاتی پیش توسط تیم Cisco Talos به انتشار رسیده، یک ضعف امنیتی در سوئیچ های سیسکو به هکرها اجازه داده تا به زیرساختهای حیاتی بسیاری از کشورها حمله کنند. این حمله سایبری حدود 168 هزار سیستم را تحت تاثیر خود قرار داده است.
بر اساس این گزارش، مهاجمان یک پروتکل را همراه Cisco Smart Install Client (نصب هوشمند سیسکو) مورد حمله سایبری قرار دادهاند. اگر یک کاربر نصب هوشمند سیسکو را غیرفعال یا آن را پیکربنده نکرده باشد، آن در پس زمینه هنگ کرده و منتظر دستورات خواهد ماند. در این گزارش آمده است که اگر مورد سوء استفاده قرار گرفتهاید، پروتکل نصب هوشمند سیسکو میتواند برای تنظیمات سرور TFTP، فشرده سازی فایل های پیکربندی توسط TFTP، جایگزینی فایل ایمیج IOS و نصب اکانتها مورد استفاده قرار گیرد که اجازه اجرای دستورات IOS را صادر خواهد کرد.
اختلال هزاران سیستم با حمله به سوئیچ های سیسکو
تیم Talos با استفاده از ابزار جستجوی Shodan برای تعیین اینکه بیش از 168 هزار سیستم میتواند بر اثر حمله به سوئیچ های سیسکو آسیب دیده باشد، استفاده کرده است. با این حال در سال 2016 شرکت امنیت سایبری Tenable اشاره کرده بود که در آن زمان 251 مشتری برای نصب هوشمند سیسکو وجود دارد. در این گزارش همچنین اشاره شده که در حوالی 9 نوامبر سال 2017 (18 آبان ماه 96) پویش برای مشتریان Cisco Smart Install رشد چشمگیری داشته است. این اتفاق لزوما نشان دهندهی رفتار مخرب نخواهد بود، اما به نوبه خود جالب توجه است.
اگر یک حساب کاربری مدیر بخواهد تعیین کند که آیا مشتریان نصب هوشمند آنها فعال باشند یا نه، آنها باید دستور show vstack config را اجرا کنند. در زیر میتوانید مثالی از این دستور را مشاهده کنید:
switch#show vstack config | inc Role Role: Client (SmartInstall enabled)
همچنین مهم است که گزارشهای نوشتن عملیات، بارگذاری دستگاه و سایر شاخصهای موجود نیز بررسی شوند. سادهترین راه برای حل این مشکل، اجرای دستور no vstack بر روی دستگاه آسیب دیده است. اگر آن وجود نداشت، سعی کنید با استفاده از لیست کنترل دسترسی (ACL) محدودیت دسترسی را از سر راه بردارید. در زیر میتوانید مثالی از این عملیات را ببینید:
ip access-list extended SMI_HARDENING_LIST permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786 deny tcp any any eq 4786 permit ip any any
برای کسب راهنماییهای بیشتر میتوانید با مرکز پشتیبانی فنی سیسکو (TAC) ارتباط برقرار کنید و از کمکهای رایگان آنها بهرهمند شوید.