Joi, Agenția de Securitate Cibernetică și Infrastructură (CISA) din SUA a recomandat dezactivarea funcției legacy Cisco Smart Install (SMI) după ce a observat că a fost abuzată în atacuri recente.
CISA a identificat actori de amenințare care folosesc această tactică și exploatează alte protocoale sau software-uri pentru a fura date sensibile, cum ar fi fișierele de configurare a sistemului, ceea ce a determinat o alertă prin care administratorilor li s-a recomandat să dezactiveze protocolul legacy SMI (înlocuit de soluția Cisco Network Plug and Play) pentru a bloca aceste atacuri în curs.
De asemenea, s-a recomandat revizuirea avertizării privind utilizarea necorespunzătoare a protocolului Smart Install a NSA și a Ghidului de Securitate a Infrastructurii de Rețea pentru mai multe indicații de configurare.
În 2018, echipa Cisco Talos a avertizat, de asemenea, că protocolul Cisco SMI era abuzat pentru a viza comutatoarele Cisco în atacuri legate de mai multe grupuri de hackeri, inclusiv grupul Dragonfly APT susținut de ruși (de asemenea urmărit sub numele de Crouching Yeti și Energetic Bear).
Atacatorii au profitat de faptul că proprietarii de comutatoare nu au configurat sau dezactivat protocolul, lăsând clientul SMI să ruleze și să aștepte comenzi de „instalare/configurare”.
Comutatoarele vulnerabile au permis actorilor de amenințare să modifice fișierele de configurare, să înlocuiască imaginea de sistem IOS, să adauge conturi false și să exfilteze informații prin protocolul TFTP.
În februarie 2017 și februarie 2018, Cisco a avertizat clienții că actorii răi scanează activ dispozitivele Cisco activate pentru SMI expuse pe internet.
Administratorii au primit astăzi și sfatul de a implementa măsuri mai bune de protecție a parolelor după ce CISA a descoperit că atacatorii exploatează tipurile slabe de parole pentru a compromite dispozitivele de rețea Cisco.
„Un tip de parolă Cisco este tipul de algoritm utilizat pentru a securiza parola unui dispozitiv Cisco într-un fișier de configurare a sistemului. Utilizarea tipurilor slabe de parole permite atacuri de spargere a parolelor”, a adăugat agenția astăzi.
„Odată ce accesul este obținut, un actor de amenințare ar putea accesa ușor fișierele de configurare a sistemului. Accesul la aceste fișiere de configurare și parolele de sistem poate permite actorilor cibernetici rău intenționați să compromită rețelele victimelor. Organizațiile trebuie să se asigure că toate parolele de pe dispozitivele de rețea sunt stocate folosind un nivel suficient de protecție.”
CISA recomandă utilizarea protecției de tip 8 a parolelor aprobată de NIST pentru toate dispozitivele Cisco. Acest lucru asigură că parolele sunt hash-uite cu funcția de derivare a cheii bazate pe parolă versiunea 2 (PBKDF2), algoritmul de hash SHA-256, un salt de 80 de biți și 20.000 de iterații.
Mai multe informații despre activarea parolelor de mod EXEC privilegiate de tip 8 și crearea unui cont de utilizator local cu o parolă de tip 8 pe un dispozitiv Cisco sunt disponibile în ghidul celor mai bune practici pentru tipurile de parole Cisco al NSA.
Agenția de securitate cibernetică recomandă aplicarea celor mai bune practici pentru securizarea conturilor și parolelor de administrator în fișierele de configurare.
Aceasta include stocarea corectă a parolelor folosind un algoritm de hash puternic, evitarea reutilizării parolelor pe sisteme diferite, utilizarea de parole puternice și complexe și evitarea utilizării conturilor de grup care nu oferă responsabilitate.
Defectul Cisco SSM On-Prem permite hackerilor să schimbe parola oricărui utilizator
CISA îndeamnă dezvoltatorii să elimine vulnerabilitățile de injecție de comandă OS
CISA îndeamnă dezvoltatorii de software să elimine vulnerabilitățile de injecție SQL
CISA avertizează asupra unei erori Windows exploatate în atacurile de tip ransomware
CISA avertizează asupra infractorilor care se prefac că sunt angajații săi în apeluri telefonice
Leave a Reply