Ketvirtadienį JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) rekomendavo išjungti pasenusią „Cisco Smart Install“ (SMI) funkciją po to, kai pastarųjų atakų metu ja buvo piktnaudžiaujama.
CISA pastebėjo grėsmių veikėjus, naudojančius šią taktiką ir naudojančius kitus protokolus ar programinę įrangą, kad pavogtų neskelbtinus duomenis, pvz., sistemos konfigūracijos failus, dėl kurių buvo gautas įspėjimas, pataręs administratoriams išjungti seną SMI protokolą (pakeičiamą Cisco tinklo Plug and Play sprendimu). šių nuolatinių išpuolių.
Ji taip pat rekomendavo peržiūrėti NSA Išmaniojo diegimo protokolo piktnaudžiavimo patarimas ir Tinklo infrastruktūros saugos vadovas tolimesniems konfigūravimo nurodymams.
2018 m. „Cisco Talos“ komanda taip pat perspėjo, kad „Cisco SMI“ protokolu buvo piktnaudžiaujama siekiant nukreipti „Cisco“ jungiklius atakų, susijusių su keliomis įsilaužimo grupėmis, įskaitant Rusijos remiamą „Dragonfly APT“ grupę (taip pat sekama kaip Crouching Yeti ir Energetic Bear), metu.
Užpuolikai pasinaudojo jungiklio savininkų nesugebėjimu sukonfigūruoti arba išjungti protokolo, todėl SMI klientas veikė ir laukė „diegimo/konfigūravimo“ komandų.
Pažeidžiami jungikliai leido grėsmės veikėjams keisti konfigūracijos failus, pakeisti IOS sistemos vaizdą, pridėti nesąžiningų paskyrų ir išfiltruoti informaciją per TFTP protokolą.
2017 m. vasario mėn. ir 2018 m. vasario mėn. „Cisco“ perspėjo klientus, kad kenkėjiški veikėjai aktyviai ieško „Cisco“ įrenginių, kuriuose veikia SMI.
Piktnaudžiavimas silpnų tipų slaptažodžiais
Šiandien administratoriams taip pat buvo patarta įdiegti geresnes slaptažodžių apsaugos priemones po to, kai CISA nustatė, kad užpuolikai naudoja silpnus slaptažodžių tipus siekdami pažeisti Cisco tinklo įrenginius.
„Cisco slaptažodžio tipas yra algoritmo tipas, naudojamas „Cisco” įrenginio slaptažodžiui apsaugoti sistemos konfigūracijos faile. Silpnų slaptažodžių tipų naudojimas įgalina slaptažodžių nulaužimo atakas”, – šiandien pridūrė agentūra.
„Gavęs prieigą, grėsmės veikėjas galės lengvai pasiekti sistemos konfigūracijos failus. Prieiga prie šių konfigūracijos failų ir sistemos slaptažodžių gali leisti piktybiniams kibernetiniams veikėjams pažeisti aukų tinklus. Organizacijos turi užtikrinti, kad visi tinklo įrenginių slaptažodžiai būtų saugomi naudojant pakankamą lygį apsaugos“.
CISA rekomenduoja naudoti NIST patvirtintą 8 tipo slaptažodžio apsaugą visiems Cisco įrenginiams. Tai užtikrina slaptažodžių maišą naudojant slaptažodžiu pagrįstos raktų išvedimo funkcijos 2 versiją (PBKDF2), maišos algoritmą SHA-256, 80 bitų druską ir 20 000 iteracijų.
Daugiau informacijos apie 8 tipo privilegijų EXEC režimo slaptažodžių įgalinimą ir vietinės vartotojo abonemento su 8 tipo slaptažodžiu sukūrimą Cisco įrenginyje rasite NSA. „Cisco“ slaptažodžių tipai: geriausios praktikos vadovas.
Kibernetinio saugumo agentūra rekomenduoja vadovautis geriausia praktika, kaip apsaugoti administratoriaus paskyras ir slaptažodžius konfigūracijos failuose.
Tai apima tinkamą slaptažodžių saugojimą naudojant stiprų maišos algoritmą, vengti pakartotinio slaptažodžių naudojimo įvairiose sistemose, naudoti stiprius ir sudėtingus slaptažodžius ir vengti naudoti grupines paskyras, kurios neužtikrina atskaitomybės.