Ο ερευνητής Ασφάλειας Δημήτρης Ρούσσης μας αναλύει πως η μια λάθος ρύθμιση στην δυνατότητα Smart Install που παρέχεται από της συσκευές Cisco καθιστούν χιλιάδες web devices ευάλωτα παγκοσμίως.
Το Smart Install παρέχει την δυνατότητα σε μια διαδικτυακή συσκευή που ενσωματώνεται σε ένα εταιρικό δίκτυο να προσαρμόζεται αυτόματα χωρίς την παρέμβαση ενός διαχειριστή του δικτύου (Network Administrator). Την παρούσα χρονική στιγμή χιλιάδες ενεργές συσκευές Cisco έχουν ρυθμιστεί κατά τέτοιο τρόπο ώστε να παρέχουν την δυνατότητα Smart Install προσβάσιμη από το διαδίκτυο.
Ένας επιτιθέμενος δύναται να εκμεταλλευτεί την ρύθμιση αυτή και να αποκτήσει πρόσβαση στα web devices με την δυνατότητα να εκτελέσει απομακρυσμένα οποιαδήποτε εντολή, όπως να απενεργοποιήσει την δικτυακή συσκευή καθιστώντας μη προσβάσιμο το εταιρικό δίκτυο σε ολόκληρο τον Οργανισμό/Εταιρία, να υποκλέψει ή και πραγματοποιήσει αλλαγή των κωδικών πρόσβασης κλ.π.
Τα παραπάνω παρουσιάζονται στην ανάλυση που μας παραθέτει παρακάτω ο ερευνητής.
Αρχικά στο πλαίσιο της έρευνας αναζητούνται ως τυχαίο δείγμα 100 web devices, ανάμεσα στις χιλιάδες, μέσω της μηχανής αναζήτησης shodan.
Στην συνέχεια, μέσω ενός αυτοματοποιημένου script ελέγχεται ποιες από τις δικτυακές συσκευές του τυχαίου δείγματος είναι ευάλωτες. Το script χρησιμοποιεί επιπλέον και κώδικα που είναι δημοσιοποιημένος στο διαδίκτυο.
- Το τελικό αποτέλεσμα του script είναι η δημιουργία ενός αρχείου (vulnerable_devices.txt) που περιλαμβάνει τις IP απο τις ευάλωτες δικτυακές συσκευές.
Επιπλέον το script προς απόδειξη της σοβαρότητας της ευπάθειας, συνδέεται στην δικτυακή συσκευή, και κατεβάζει ολόκληρο το config file αυτής στον τοπικό φάκελο tftp.
Κατά αντιστοιχία του download του config file μεσω της ευπάθειας αυτής δύναται να εκτελεστεί η οποιαδήποτε εντολή στην δικτυακή συσκευή.
Αξίζει να σημειώσουμε ότι μεταξύ των επηρεαζόμενων δικτυακών συσκευών αρκετές βρίσκονται και στην Ελλάδα, όπως αποδεικνύεται και από την μηχανή αναζήτησης του Shodan.
Για να μην είναι εφικτή η επίθεση πρέπει άμεσα οι Διαχειριστές Δικτύου να απενεργοποιήσουν την δυνατότητα Smart Install εφόσον δεν γίνεται χρήση της ή να περιορίσουν την πρόσβαση σε αυτή μέσω κανόνων ACL που δεν θα επιτρέπουν την πρόσβαση στην πόρτα (port) 4786 από το Public δίκτυο (Διαδίκτυο).