شب گذشته شاهد حمله سایبری به مراکز داده سراسر دنیا بودیم که در این حمله 200 هزار سوئیچ سیسکو هدف قرار داده شده بود. در این بین 3500 سوئیچ در ایران هم جز تجهیزات موردحمله قرارگرفته، بودند که باعث از کار افتادن شبکه اینترنت در شب قبل شد. این حمله سایبری باعث شده که تنظیمات سوئیچ‌های قربانی به حالت اول برگردد و درواقع کلیه تنظیماتی که در startup-confing و running-config این سوئیچ‌ها انجام شده بود، به‌طورکلی پاک شوند.

این مشکل به دلیل باگی با شماره CVE-2018-0171 در سوئیچ‌های شرکت سیسکو رخ داده است که در قابلیت Smart install سوئیچ‌های این شرکت وجود داشته است.

چندی پیش شرکت سیسکو راجع به وجود این حفره امنیتی هشدار داده بود و اعلام کرده بود که حداقل 250 هزار دستگاه آسیب‌پذیر نسبت به این باگ، در شبکه وجود دارد. با وجود این هشدار، همچنان بسیاری از مدیران شبکه نسبت به آن باگ بی‌تفاوت بوده و برای رفع آن اقدام نکردند.

چطور بفهمیم که قابلیت smart install در سوئیچ فعال است

برای اینکه متوجه شوید که آیا در سوییچ سیسکو شما قابلیت smart install فعال است یا خیر، کافی است دستور زیر را در مد privileged سوئیچ وارد کنید:

show vstack config

همان‌طور که در تصویر می‌بینید نتیجه اجرای این دستور در دو سوییچ که قابلیت smart install در آن‌ها فعال است به این صورت است:

جلوگیری از حمله از طریق باگ CVE-2018-0171

برای جلوگیری از حملات آتی از طریق حفره امنیتی CVE-2018-0171 در سوئیچ‌های سیسکو سه راه‌حل وجود دارد:

• بستن پورت 4786 TCP

سیسکو اعلام کرده است که هکرها از طریق ارسال پیام smart install به پورت 4786 TCP، از این باگ سو استفاده می‌کنند بنابراین در اولین فرصت این پورت را روی سوئیچ‌های سیسکو ببندید:

ip access-list extended XXX

permit tcp host x.x.x.x host x.x.x.x eq 4786

deny tcp any any eq 4786

permit ip any any

• غیرفعال کردن قابلیت smart install

درصورتی‌که قابلیت smart install روی سوئیچی فعال باشد با استفاده از دستور زیر می‌توانید این قابلیت را غیرفعال کنید:

no vstack

• اعمال آپدیت‌های امنیتی مربوط به IOS و IOS XE

برای اینکه از تمامی اخبار در اولین فرصت مطلع شوید با کانال تلگرام ما با آی دی faceitmag@ همراه باشید.