علیرضا عابدینی
علیرضا عابدینی
کارشناس ارشد فناوری اطلاعات و مدرس کامپیوتر

معرفی آسیب پذیری Smart Install سیسکو سری 3 و 4

نیازی به توضیح نیست که تجهیزات سیسکو از معتبرترین و پراستفاده ترین تجهیزات مورد استفاده در زیر ساخت شبکه بخصوص در حوزه روتر و سیسکو هستند و دقیقا به همین جهت بعنوان یک نقطه هدف از طرف هکرها و نفوذگرها همواره محسوب می شوند. در ادامه با آسیب پذیری جدیدی در این تجهیز آشنا می شیم که منجر به از کار افتادن و اختلال در تعداد زیادی از سایت های دولتی شده است.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
برای مشاهده تخفیف های ویژه امروز کلیک کنید
سرفصل های این مطلب
  1. آسیب پذیری در ویژگی Smart Install
  2. بررسی وضعیت
  3. آسیب پذیری
  4. تهدیدات
  5. اقدامات پیشگیرانه
  6. اقدامات بعد از حمله
وب سایت توسینسو

آسیب پذیری در ویژگی Smart Install

ویژگی Smart Install در تجهیزات سیسکو بمنظور پیکربندی plug-and-play و ویژگی مدیریت تصویر به وجود آمده است که به مدیران اجازه می‌دهد تا بتوانند به راحتی سوییچ‌های شبکه مشتریان را پیاده‌سازی کنند.

وب سایت توسینسو

بررسی وضعیت

ویژگی Smart Install بطور خودکار در روی تجهیزات سیسکو فعال می باشد . برای بررسی فعال بودن ویژگی Smart Install client از دستور زیر می توان استفاده کرد:

show vstack config

در صورت فعال بودن ویژگی مذکور، در خروجی پیغام زیر دیده می شود:

Role: Client (SmartInstall enabled)

آسیب پذیری

در گزارش اعلام شده توسط شرکت سیسکو به این مطلب اشاره شده که “سرریز بافر در تابع smiibchandleibdinitdiscoverymsg رخ می‌دهد و به دلیل اینکه اندازه داده‌های کپی شده در یک بافر دارای اندازه ثابت بررسی نشده است، اندازه و داده‌ها به طور مستقیم از بسته شبکه گرفته می‌شود و توسط مهاجم کنترل می‌شود.”، برای بهره‌برداری از این آسیب‌پذیری، مهاجم باید یک پیغام Smart Install دستکاری شده را به یک دستگاه آسیب‌پذیر بر روی پورت ۴۷۸۶ (TCP) ارسال کند.

وب سایت توسینسو

تهدیدات

  • اجرای کد از راه دورو اختلال در ترافیک و کنترل کامل تجهیزات شبکه آسیب پذیر.
  • احتمال حملات denial-of-service و watchdog crash جهت ایجاد حلقه نامحدود در دستگاه های تحت تاثیر که منجر به از سرویس خارج شدن تجهیز می گردد.
  • راه اندازی مجدد دستگاه و حذف کلیه پیکربندی هایی این تجهیزات شامل startup config و running-config

اقدامات پیشگیرانه

  • غیر فعال سازی ویژگی مذکور با استفاده از دستور no vstack
  • بستن پورت 4786 در لبه شبکه با استفاده از acl جهت مسدود سازی ترافیک ورودی 4786
  • تهیه پشتیبان از کلیه تنظیمات تجهیزات
  • تغییر رمز عبور قسمتهای مختلف تجهیز
  • بروزرسانی به آخرین نسخه پیشنهادی شرکت سیسکو(سیسکو این آسیب‌پذیری را در تاریخ ۲۸ مارس ۲۰۱۸ بر روی تمامی محصولات آسیب پذیر خود برطرف کرد و Embedi جزئیات این آسیب‌پذیری را در تاریخ ۲۹ مارس ۲۰۱۸ در وبلاگ خود منتشر کرد. )

اقدامات بعد از حمله

بهره برداری از پشتیبان های تهیه شده و یا تنظیمات مجدد

آمار

شرکت ایرانی از جمله ارتباطات زیرساخت، پارس‌آنلاین، شاتل، افرانت، صبانت و رسپینا دچار اختلال شده بودند.

لیست تجهیزات آسیب‌پذیر

Catalyst ۴۵۰۰ Supervisor Engines
Catalyst ۳۸۵۰ Series
Catalyst ۳۷۵۰ Series
Catalyst ۳۶۵۰ Series
Catalyst ۳۵۶۰ Series
Catalyst ۲۹۶۰ Series
Catalyst ۲۹۷۵ Series
IE ۲۰۰۰
IE ۳۰۰۰
IE ۳۰۱۰
IE ۴۰۰۰
IE ۴۰۱۰
IE ۵۰۰۰
SM-ES۲ SKUs
SM-ES۳ SKUs
NME-۱۶ES-۱G-P
SM-X-ES۳ SKUs

 

 

نویسنده : علیرضا (ARAF)

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

2 2
علیرضا عابدینی
علیرضا عابدینی

کارشناس ارشد فناوری اطلاعات و مدرس کامپیوتر

کارشناس ارشد فناوری اطلاعات هستم ، مدرس دوره های کامپیوتر ، مدیر فناوری اطلاعات و دارای گواهینامه های MCSA ، CCNA ، CEH و Network Plus و خوشحالم از اینکه می تونم دانشم رو در توسینسو به اشتراک بگذارم

18 فروردین 1397 این مطلب را ارسال کرده

نظرات

کلیه حقوق این وب سایت متعلق به مجموعه توسینسو است