حمله به سوئیچ های سیسکو

نقص حیاتی در سوئیچ های سیسکو باعث حمله هکرها به زیرساخت‌های مهم در چندین کشور شد

بر اساس گزارش تیم امنیتی Cisco Talos، نقص حیاتی در سوئیچ های سیسکو باعث حمله هکرها به زیرساخت‌های مهم در چندین کشور از جمله ایران شده و بسیاری از سایت های اینترنتی را از دسترس خارج کرده است.

بر اساس گزارشی که ساعاتی پیش توسط تیم Cisco Talos به انتشار رسیده، یک ضعف امنیتی در سوئیچ های سیسکو به هکرها اجازه داده تا به زیرساخت‌های حیاتی بسیاری از کشورها حمله کنند. این حمله سایبری حدود 168 هزار سیستم را تحت تاثیر خود قرار داده است.

بر اساس این گزارش، مهاجمان یک پروتکل را همراه Cisco Smart Install Client (نصب هوشمند سیسکو) مورد حمله سایبری قرار داده‌اند. اگر یک کاربر نصب هوشمند سیسکو را غیرفعال یا آن را پیکربنده نکرده باشد، آن در پس زمینه هنگ کرده و منتظر دستورات خواهد ماند. در این گزارش آمده است که اگر مورد سوء استفاده قرار گرفته‌اید، پروتکل نصب هوشمند سیسکو می‌تواند برای تنظیمات سرور TFTP، فشرده سازی فایل های پیکربندی توسط TFTP، جایگزینی فایل ایمیج IOS و نصب اکانت‌ها مورد استفاده قرار گیرد که اجازه اجرای دستورات IOS را صادر خواهد کرد.

اختلال هزاران سیستم با حمله به سوئیچ های سیسکو

تیم Talos با استفاده از ابزار جستجوی Shodan برای تعیین اینکه بیش از 168 هزار سیستم می‌تواند بر اثر حمله به سوئیچ های سیسکو آسیب دیده باشد، استفاده کرده است. با این حال در سال 2016 شرکت امنیت سایبری Tenable اشاره کرده بود که در آن زمان 251 مشتری برای نصب هوشمند سیسکو وجود دارد. در این گزارش همچنین اشاره شده که در حوالی 9 نوامبر سال 2017 (18 آبان ماه 96) پویش برای مشتریان Cisco Smart Install رشد چشمگیری داشته است. این اتفاق لزوما نشان دهنده‌ی رفتار مخرب نخواهد بود، اما به نوبه خود جالب توجه است.

اگر یک حساب کاربری مدیر بخواهد تعیین کند که آیا مشتریان نصب هوشمند آن‌ها فعال باشند یا نه، آن‌ها باید دستور show vstack config را اجرا کنند. در زیر می‌توانید مثالی از این دستور را مشاهده کنید:

switch#show vstack config | inc Role

Role: Client (SmartInstall enabled)

همچنین مهم است که گزارش‌های نوشتن عملیات، بارگذاری دستگاه و سایر شاخص‌های موجود نیز بررسی شوند. ساده‌ترین راه برای حل این مشکل، اجرای دستور no vstack بر روی دستگاه آسیب دیده است. اگر آن وجود نداشت، سعی کنید با استفاده از لیست کنترل دسترسی (ACL) محدودیت دسترسی را از سر راه بردارید. در زیر می‌توانید مثالی از این عملیات را ببینید:

ip access-list extended SMI_HARDENING_LIST

permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786

deny tcp any any eq 4786

permit ip any any

برای کسب راهنمایی‌های بیشتر می‌توانید با مرکز پشتیبانی فنی سیسکو (TAC) ارتباط برقرار کنید و از کمک‌های رایگان آن‌ها بهره‌مند شوید.