بنابر هشدارهای سیسکو، سوئیچ‌های محافظت‌نشده، زیرساخت‌های حیاتی را در معرض حمله قرار می‌دهند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سیسکو به سازمان‌ها توصیه کرده است تا اطمینان حاصل کنند که امکان نفوذ به سوئیچ‌های آنها از طریق پروتکل Smart Install وجود ندارد. این غول شبکه صدها هزار دستگاه آسیب‌پذیر را شناسایی کرده و هشدار داده‌است که زیرساخت‌های حیاتی ممکن است در معرض خطر باشند.

Cisco Smart Install Client یک ابزار قدیمی است که بدون نیاز به لمس، نصب سوئیچ‌های جدید سیسکو را فراهم می‌کند. تقریبا یک سال پیش و به‌دنبال افزایش پویش‌های اینترنتی برای شناسایی دستگاه‌های محافظت نشده‌ای که قابلیت Smart Install را فعال کرده‌اند، این شرکت در مورد سوء‌استفاده از این پروتکل به مشتریان هشدار داده و برای شناسایی دستگاه‌هایی که از این پروتکل استفاده می‌کنند نیز یک ابزار متن‌باز در دسترس قرار داد.

مهاجمان می‌توانند از پروتکل Smart Install به‌منظور تغییر پرونده‌ پیکربندی بر روی سوئیچ‌های اجراکننده‌ نرم‌افزارهای IOS و IOS XE سوءاستفاده کنند، دستگاه را مجددا بارگیری کنند، یک تصویر جدید IOS بارگذاری کرده و دستورات دارای امتیاز بالا را اجرا کنند. این حملات از ناتوانی بسیاری از سازمان‌ها در ایمن کردن پیکربندی سوئیچ‌های خود ناشی می‌شوند.

به گفته‌ سیسکو، گروه‌های خبره‌ دولتی نیز ازجمله عوامل تهدیدکننده‌ مرتبط با روسیه مانند Dragonfly، Crouching Yeti و Energetic Bear که به هدف قرار دادن زیرساخت‌های حیاتی شناخته‌شده‌اند از پروتکل Smart Installer سوءاستفاده می‌کنند.

سیسکو به‌‌دنبال افشای یک آسیب‌پذیری بحرانی که اخیرا توسط پژوهش‌گران Embedi کشف شده‌است، یک‌بار دیگر در مورد خطرات مرتبط با Smart Install به سازمان‌ها هشدار داد.

این آسیب‌پذیری که یک اشکال سرریز بافر مبتنی‌بر پشته بوده و با شناسه‌ CVE-۲۰۱۸-۰۱۷۱ ردیابی می‌شود به مهاجم از راه دور و غیرقابل شناسایی اجازه می‌دهد تا یک وضعیت منع سرویس (DoS) ایجاد کرده و یا با ارسال پیام‌های نصب Smart Install به یک دستگاه آسیب‌دیده بر روی درگاه ۴۷۸۶ پروتکل TCP، کدهای دلخواه را اجرا کند. پژوهشگران اعلام کردند که تقریبا ۲۵۰ هزار دستگاه آسیب‌پذیر سیسکو با درگاه ۴۷۸۶ پروتکل TCP را که این درگاه به‌صورت پیش‌فرض باز است، شناسایی کرده‌اند.

در پویش‌های اینترنتی سیسکو، ۱۶۸ هزار سامانه به‌دلیل استفاده از Cisco Smart Install Client، آسیب‌پذیر اعلام شده‌اند. این شرکت می‌گوید که از سال ۲۰۱۶ میلادی و پس از شناسایی بیش از ۲۵۰ هزار سامانه‌ آسیب‌پذیر توسط شرکت امنیتی Tenable، تعداد دستگاه‌های آسیب‌دیده به میزان قابل‌توجهی کاهش یافته‌است.

اواخر سال ۲۰۱۷ و اوایل سال ۲۰۱۸ میلادی، گروه سیسکو تالوس متوجه شد که مهاجمان به‌طور فزاینده‌ای به‌دنبال کارخواه‌های با پیکربندی نادرست هستند. اکنون که آسیب‌پذیری CVE-۲۰۱۸-۰۱۷۱ کشف شده و Embedi نیز جزییات فنی و کد اثبات مفهومی (PoC) آن را منتشر کرده‌است، خطر این حملات حتی بیشتر افزایش یافته‌است.

شواهدی وجود ندارد که آسیب‌پذیری CVE-۲۰۱۸-۰۱۷۱ در حملات مخرب مورد بهره‌برداری قرار گرفته‌باشد. سیسکو همچنین اشاره کرد که احتمالا بیشتر فعالیت‌های مشاهده‌شده مخرب نیستند، اما افزایش چشمگیر آنها در پویش‌ها قابل‌توجه است.

این فروشنده پیشنهادهای خود را برای جلوگیری از حملات احتمالی ارائه داده و به مشتریان توصیه کرده‌است که اگر نیازی به Smart Install Client ندارند، آن را از دستگاه‌های خود حذف کنند. Smart Install به‌طور پیش‌فرض بر روی سوئیچ‌هایی که به‌روزرسانی اخیر را دریافت نکرده‌اند، فعال است. در به‌روزرسانی جدید، زمانی‌که از این ویژگی استفاده‌نشود، به‌صورت خودکار غیرفعال خواهدشد.

Cylance اخیرا گزارش داد که گروه جاسوسی Dragonfly یک مسیریاب مرکزی سیسکو را در یک کنگره‌ انرژی دولتی در ویتنام به سرقت برده و آن را برای به‌دست آوردن گواهی‌نامه‌هایی که بعدا در حمله به شرکت‌های انرژی انگلیس استفاده شدند، مورد بهره‌برداری قرار داده است. هنوز مشخص نیست که Smart Install نیز در این حملات مورد استفاده قرار گرفته‌است یا خیر.