به دلیل وجود باگی با شماره CVE-2018-0171 در سوئیچهای شرکت سیسکو شب گذشته شاهد حمله سايبري بوديم اين باگ در قابلیت Smart install سوئیچهای این شرکت وجود داشته است.راه حل جلوگیری از اين حمله را در فيسيت بخوانيد.
شب گذشته شاهد حمله سایبری به مراکز داده سراسر دنیا بودیم که در این حمله 200 هزار سوئیچ سیسکو هدف قرار داده شده بود. در این بین 3500 سوئیچ در ایران هم جز تجهیزات موردحمله قرارگرفته، بودند که باعث از کار افتادن شبکه اینترنت در شب قبل شد. این حمله سایبری باعث شده که تنظیمات سوئیچهای قربانی به حالت اول برگردد و درواقع کلیه تنظیماتی که در startup-confing و running-config این سوئیچها انجام شده بود، بهطورکلی پاک شوند.
این مشکل به دلیل باگی با شماره CVE-2018-0171 در سوئیچهای شرکت سیسکو رخ داده است که در قابلیت Smart install سوئیچهای این شرکت وجود داشته است.
چندی پیش شرکت سیسکو راجع به وجود این حفره امنیتی هشدار داده بود و اعلام کرده بود که حداقل 250 هزار دستگاه آسیبپذیر نسبت به این باگ، در شبکه وجود دارد. با وجود این هشدار، همچنان بسیاری از مدیران شبکه نسبت به آن باگ بیتفاوت بوده و برای رفع آن اقدام نکردند.
چطور بفهمیم که قابلیت smart install در سوئیچ فعال است
برای اینکه متوجه شوید که آیا در سوییچ سیسکو شما قابلیت smart install فعال است یا خیر، کافی است دستور زیر را در مد privileged سوئیچ وارد کنید:
show vstack config
همانطور که در تصویر میبینید نتیجه اجرای این دستور در دو سوییچ که قابلیت smart install در آنها فعال است به این صورت است:
جلوگیری از حمله از طریق باگ CVE-2018-0171
برای جلوگیری از حملات آتی از طریق حفره امنیتی CVE-2018-0171 در سوئیچهای سیسکو سه راهحل وجود دارد:
- بستن پورت 4786 TCP
سیسکو اعلام کرده است که هکرها از طریق ارسال پیام smart install به پورت 4786 TCP، از این باگ سو استفاده میکنند بنابراین در اولین فرصت این پورت را روی سوئیچهای سیسکو ببندید:
ip access-list extended XXX permit tcp host x.x.x.x host x.x.x.x eq 4786 deny tcp any any eq 4786 permit ip any any
- غیرفعال کردن قابلیت smart install
درصورتیکه قابلیت smart install روی سوئیچی فعال باشد با استفاده از دستور زیر میتوانید این قابلیت را غیرفعال کنید:
no vstack
- اعمال آپدیتهای امنیتی مربوط به IOS و IOS XE
برای اینکه از تمامی اخبار در اولین فرصت مطلع شوید با کانال تلگرام ما با آی دی faceitmag@ همراه باشید.
منبع خبر: cisco و thehackernews
ثبت نظر