Skoči na vsebino
Varnostna obvestila /

SI-CERT 2018-03 / Ranljivost Cisco Smart Install (SMI) protokola

Povzetek

Cisco je objavil kritično ranljivost v SMI protokolu CVE-2018-0171, ki omogoča prekoračitev medpomnilnika na prizadeti napravi, ki so jo odkrili raziskovalci (proof-of-concept). Ta ranljivost omogoča napadalcu, da izvrši poljubno kodo brez avtentikacije. Tako lahko napadalec pridobi popolni nadzor nad ranljivo omrežno opremo. Ranljive so vse naprave navedene v spodnjem seznamu,  ki imajo odprta TCP vrata 4786. Skrbnikom priporočamo takojšnjo posodobitev naprave, ki so jo pri Ciscu že izdali [1] in omejitev dostopa do vrat 4786.

Opis

SMI omogoča avtomatizacijo procesa začetne konfiguracije in nalaganje slike operacijskega sistema za novo omrežno stikalo. To pomeni, da lahko priklopite stikalo v omrežje in ga vklopite brez vsakokratnega nastavljanja posamične naprave. Tehnologija omogoča tudi varnostno kopijiranje konfiguracije v primeru sprememb. SMI protokol teče na TCP vratih 4786, ki so privzeto odprta, zato že sam dostop do storitve SMI na napravi pomeni možnost spremembe nastavitev in prestrezanja prometa.

Dodatno je ranljivost CVE-2018-0171 posledica nepravilnega preverjanja podatkov v komunikacijskih paketih. Napadalec bi lahko to ranljivost izkoristil s pošiljanjem posebej oblikovanih sporočil na SMI vrata ranljive naprave. Uspešna izraba ranljivosti na prizadeti napravi, pa napadalcu omogoča tudi zagon poljubne kode.

Na napravi lahko preverite, ali je SMI omogočen z ukazom »show vstack config«, odprta TCP vrata pa preverite z ukazom »show tcp brief all«.

Seznam ranljivih naprav [2]:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Rešitev

SMI je zasnovan tako, da omogoča oddaljeno upravljanje Cisco stikal, zato mora biti storitev omogočena, vendar je dostop potrebno omejiti z uporabo ACL pravil samo na posamične IP naslove ali notranje omrežje. Če SMI ni v uporabi, se storitev onemogoči s pomočjo konfiguracijskega ukaza »no vstack«.

Ranljivost naprave lahko preverite z orodjem, ki so ga dali na voljo pri Ciscu:
https://tools.cisco.com/security/center/softwarechecker.x

Cisco je za ranljivost CVE-2018-0171 že izdal posodobitve [1], tako da skrbnikom svetujemo, da nemudoma nadgradijo programsko opremo.

Viri

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
[2] https://embedi.com/blog/cisco-smart-install-remote-code-execution/
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-0171

Preberite tudi

Varnostna obvestila /

SI-CERT 2025-03 / Več VMware ranljivosti

Izraba verige treh ranljivosti napadalcem omogoča prehod iz virtualnega sistema v gostiteljski sistem (t.i. VM Escape). Po podatkih proizvajalca naj bi se ranljivosti že izrabljale v posameznih napadih.
Več
Varnostna obvestila /

SI-CERT 2025-02 / Okužbe s kombinacijo tipk v lažnih CAPTCHA preverjanjih

Zlorabljena spletna stran zahteva izpolnitev lažnega CAPTCHA obrazca prek kombinacije na tipkovnici Win + R, Ctrl + V in Enter. V primeru izvedbe teh pritiskov na tipkovnici, pride do okužbe računalnika
Več
Varnostna obvestila /

SI-CERT 2025-01 / Prevzemi in kreiranje Telegram računov brez vednosti uporabnikov telefonskih številk

Že nekaj mesecev obravnavamo primere ustvarjanja uporabniških računov na platformi Telegram s slovenskimi telefonskimi številkami, pri čemer računov niso kreirali uporabniki teh številk. Na podoben način prihaja do prevzema obstoječih Telegram računov, ki niso zaščiteni z dodatnim geslom. Trenutno zbrane informacije kažejo, da ne gre za ciljane napade.
Več