از هفته‌ی گذشته، یک گروه نفوذ جدید، به نام JHT تعداد قابل توجهی از دستگاه‌های سیسکو را که متعلق به سازمان‌های روسیه و ایران بودند را ربود و پیامی با مضمون «در انتخابات ما دخالت نکنید» را با پرچم آمریکا در این سوئیچ‌ها منتشر کرد.

محمد جواد آذری جهرمی، وزیر ارتباطات و فن‌آوری اطلاعات ایران گفت که این پویش حدود ۳۵۰۰ سوئیچ شبکه در ایران را تحت تاثیر قرار داد، اما اکثر آن‌ها در حال حاضر بازیابی شده‌اند.

گزارش شده است که این گروه نفوذ، تجهیزات آسیب‌پذیر Cisco Smart Install Client، که برای کمک به مدیران برای پیکربندی و راه‌اندازی تجهیزات سیسکو به صورت از راه دور طراحی شده است و به صورت پیش‌فرض در سوئیچ‌های Cisco IOS و IOS XE فعال است را هدف قرار می‌دهد و از طریق TCP درگاه ۴۷۸۶ اجرا می‌شود.

برخی از پژوهش‌گران معتقدند که این حمله شامل یک آسیب‌پذیری اجرای کد از راه دور (CVE-۲۰۱۸-۰۱۷۱) در Cisco Smart Install Client است که اخیراً کشف شده و به مهاجمان اجازه می‌دهد تا کنترل کامل تجهیزات شبکه را به دست گیرند.

با این حال، از آن‌جا که این نفوذ دستگاه‌های مورد هدف را بازنشانی کرده، آن‌ها را از دسترس نیز خارج کرده است. سیسکو معتقد است که نفوذگران به جای بهره‌برداری از یک آسیب‌پذیری، تنها از پروتکل Smart Install سوء‌استفاده کرده‌اند تا پیکربندی دستگاه را بازنویسی کنند.

این شرکت تشریح می‌کند: «از پروتکل Smart Install سیسکو می‌توان برای تغییر تنظیمات کارگزار TFTP، پرونده‌های پیکربندی استخراج غیرمجاز از طریق TFTP، تغییر پرونده‌ی پیکربندی، جایگزینی تصویر IOS، و ایجاد حساب‌ها سوء‌استفاده کرد که امکان اجرای دستورات IOS را فراهم می‌کند.»

شرکت امنیتی چینی Qihoo ۳۶۰ Netlab نیز تایید کرد که در این پویش نفوذ که توسط گروه JHT راه‌اندازی شد، از آسیب‌پذیری اجرای کد جدید استفاده نشده است و طبق گزارشی که در ماه مارس سال گذشته ارائه شد این حمله به خاطر عدم وجود احراز هویت در پروتکل Smart Install سیسکو است.

طبق پویش‌های اینترنتی سیسکو، بیش از ۱۶۵ هزار سامانه که اکنون در اینترنت در معرض خطر قرار گرفته‌اند Cisco Smart Install Client را در TCP درگاه ۴۷۸۶ اجرا می‌کنند.

از آن‌جا که Cisco Smart Install Client برای مدیریت از راه دور سوئیچ‌های سیسکو طراحی شده است، مدیران سامانه باید آن را فعال کنند اما باید با استفاده از فهرست‌های کنترل دسترسی رابط (ACL) دسترسی آن را محدود کنند.

مدیرانی که هرگز از ویژگی Cisco Smart Install Clien استفاده نمی‌کنند باید آن را با دستور پیکربندی «no vstack» کاملاً غیرفعال کند.

اگرچه حملات اخیر هیچ ارتباطی به آسیب‌پذیری CVE-۲۰۱۸-۰۱۷۱ ندارند، مدیران هنوز هم به شدت توصیه می‌کنند که برای رفع این آسیب‌پذیری، وصله‌ها را نصب کنند، زیرا با جزئیات فنی و اثبات مفهومی که در اینترنت موجود است، نفوذگران به راحتی می‌توانند با استفاده از این آسیب‌پذیری حمله‌ی بعدی خود را راه‌اندازی کنند.

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

بررسی نحوه‌ی هدف قرار گرفتن سوئیچ‌های شبکه‌ی سیسکو در روسیه و ایران توسط نفوذگران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *