在过去的几周内,攻击者一直探测用于使用Cisco Smart Install(SMI)协议可能被劫持的交换机的网络。思科的研究人员现在发布了一个工具,允许网络主人发现可能易受这种攻击的设备。
Cisco SMI协议用于所谓的新设备的零触摸部署,主要用于运行Cisco IOS或iOS XE软件的访问层交换机。该协议允许新安装的交换机通过现有交换机或路由器CONPD自动通过SMI自动下载它们的配置作为集成分支导演(IBD)。
导演可以复制客户端“s startup-config文件或用自定义替换它,可以在客户端上加载特定的iOS映像,可以在其上执行高权限配置模式命令。由于SMI协议默认不支持任何授权或身份验证机制,因此攻击者可能会潜在地劫持启用SMI的设备。
这是一个滥用的功能,如预期的方式,所以没有易受修补的漏洞,但思科发布了一个安全咨询和博客文章,其中包含有关客户如何检测和阻止此类攻击的信息。
该公司提供了一个新的IPS(入侵防盗系统)签名和哼唱规则,以检测客户网络中的智能安装的使用。
在野外观察到的最近智能安装扫描活动可能与最近发布称为智能安装开发工具(SIET)的开源工具有关。
Don“T需要Cisco Smart Install功能的客户应该只需禁用其交换机中的功能。那些需要它的人,应该遵循思科的缓解建议。
来自Cisco Talos的团队已经开发并发布了自己的扫描工具,即客户可以用于查找在其网络上启用智能安装的开关。该工具称为Smart Install Client Scanner,并在Github上发布。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。