Zwakke plek in Cisco-switch maakt 168.000 systemen kwetsbaar

Een veiligheidsrapport van het Cisco Talos-team toont aan dat vandaag 168.000 systemen kwetsbaar zijn voor cyberaanvallen. De aanvallers mikken hun pijlen op de Cisco Smart Install Client, meer specifiek wanneer gebruikers die niet configureren of uitschakelen.

Wanneer de Cisco Smart Install Client niet wordt geconfigureerd, wacht die namelijk in de achtergrond op commando’s. Het Cisco Talos-team meldt nu dat het Smart Install-protocol misbruik kan worden voor:

  • Veranderen van de TFTP-serverinstellingen
  • Configuratiebestanden exfiltreren via TFTP
  • Het configuratiebestand aanpassen
  • De IOS-image vervangen en accounts instellen
  • Goedkeuring om IOS-commando’s uit te voeren

Zelf nakijken

Als een admin wil nakijken of hun Smart Install Client actief is, moeten ze het vstack config command boven halen. Hier is een voorbeeld:

 

switch#show vstack config | inc Role

Role: Client (SmartInstall enabled)

 

Het is ook belangrijk om na te gaan of er schrijfoperaties zijn gebeurd, device reloads en andere indicatoren dat er een aanval is geweest.

De meest eenvoudige manier om er een einde aan te maken, is het no vstack command te starten. Wanneer dat niet beschikbaar is, kan je toegang beperken met een Access Control List (ACL). Dit kan er zo uit zien:

 

ip access-list extended SMI_HARDENING_LIST

permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786

deny tcp any any eq 4786

permit ip any any

 

Cisco sluit zijn veiligheidsrapport af met een belangrijke conclusie: “Netwerk administrators moeten bijzonder aandachtig zijn om perimeter-toestellen te beveiligen en monitoren. Het kan snel gebeuren om dergelijke toestellen snel te ‘installeren en vergeten’, omdat die meestal heel stabiel zijn en zelden veranderen. Wanneer een hacker toegang krijgt tot netwerkapparatuur, kunnen ze hun acties verder plannen. Daarom dat routers en switches heel interessante targets zijn geworden voor hen.”

Wie problemen ondervindt, kan terecht bij het Cisco Technical Assistance Center (TAC) voor gratis assistentie rond dit probleem.