Cisco SmartInstall utnyttjas för att exilfiltrera iOS-konfigurationsfiler m.m.

Avsaknad av autentisering gör att konfigurationsfiler kan exfiltreras och även modifieras.

Vad har hänt

Tisdagen 2017-02-14 släppte Cisco en notis[0] gällande en funktion i Cisco iOS som potentiellt kan utnyttjas för att exfiltrera eller ändra konfigurationsfiler på dessa enheter.

Måndagen 2017-02-27 släppte Talos Intelligence (Ciscos egna Threat Intel-team) en egen notis[1] där de rapporterar att denna funktionalitet exploateras aktivt på internet.

På grund av ovan information, samt rapporter som CERT-SE fått om exploatering av denna funktionalitet skickar CERT-SE ut detta blixtmeddelande med rekommenderade åtgärder.

Vad är problemet?

Cisco SmartInstall är ett protokoll där man har möjlighet att konfigurera nya Cisco iOS-enheter automatiskt när de är anslutna till ett nätverk.

En utpekad och särskild konfigurerad Cisco-enhet agerar i rollen ‘SmartInstall Director’ och informerar nya enheter som ansluts till nätverket varifrån de ska hämta sina konfigurationer.

En angripare kan skicka egna "SmartInstall Director"-kommandon över internet till enheter som agerar som Cisco SmartInstall-klienter.

En angripare har då möjlighet att kunna tvinga berörda klienten att:

  • Exfiltrera existerande konfiguration via "backup"-mekanismen till valfri server via TFTP
  • Ladda upp egen konfiguration eller en ändrad "backup"-konfiguration med egen inloggning
  • Exekvera valfri godtycklig kod på enheten

Allvarlighet

CERT-SE anser att exponering av Cisco-enheter som agerar som "SmartInstall Clients" kan utgöra ett hot mot organisationer och deras infrastruktur. Detta särskilt med hänsyn till följande faktorer:

  • "Exploit"-kod och ramverk för exploatering av denna funktionen finns tillgängligt
  • Ett färdigt sätt att skanna efter Cisco "SmartInstall"-enheter finns tillgängligt
  • CERT-SE har kunskap om att denna sårbarheten exploateras i dagsläget.

Detektering

Följande metoder kan vara av hjälp vid detektering av funktionen på Cisco iOS-enheter, samt hjälp vid att upptäcka eventuella intrång.

Via logganalys (Detektera exploateringsförsök)

Organisationer bör kolla i sina loggar efter följande:

  • Inkommande trafik (TCP/UDP) mot port 4786 (Default port som SmartInstall klienter lyssnar på) från internet
  • Utgående TFTP-trafik från Cisco-enheter mot internet (ofta kort efter föregående punkt).

Via egen skanning (Detektera "SmartInstall"-klienter)

Talos Intelligence har tagit fram ett pyton-script[2] som tillåter skanningar efter enheter som agerar som SmartInstall klienter.

På respektive Cisco enhet (Detektera om "SmartInstall"-funktion är påslagen)

Följande kommando ska visa om Smartinstall är påslaget på enheten[0]:

switch#show vstack config
Role: Client (SmartInstall disabled)
Vstack Director IP address: 0.0.0.0

Åtgärder

Cisco[0] informerar att "SmartInstall"-funktionaliteten kan slås av via följande kommando i Cisco iOS:

no vstack

CERT-SE rekommenderar att de som upptäcker att de har internet-anslutna Cisco-enheter som agerar som SmartInstall-klienter slår av denna funktionaliteten genast.

Särskild rekommendation från CERT-SE

Då denna sårbarheten möjliggör att en angripare kan få tag i lösenord till övrig infrastruktur vill CERT-SE rekommendera att de som varit utsatta undersöker vart berörda lösenord har använts och återställer dem så snart som möjligt.

Ytterligare läsning

[0] Cisco – ‘Cisco Smart Install Protocol Misuse’
https://tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20170214-smi

[1] Talos – ‘Cisco Coverage for Smart Install Client Protocol Abuse’
http://blog.talosintelligence.com/2017/02/cisco-coverage-for-smart-install-client.html

[2] Github – ‘smi_check’
https://github.com/vrtadmin/smi_check

Source: Nyheter från CERT-SE @ February 28, 2017 at 09:22AM

0
Share