Perşembe günü, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), son saldırılarda istismar edildiğini gördükten sonra Legacy Cisco Akıllı Kurulum (SMI) özelliğinin devre dışı bırakılmasını önerdi.
CISA, tehdit aktörlerini bu taktiği kullandığını ve sistem yapılandırma dosyaları gibi hassas verileri çalmak için diğer protokolleri veya yazılımları kullandığını tespit etti, bu da bir uyaran yöneticilerin eski SMI protokolünü (Cisco Network fişi ve Play çözümü tarafından yerine getirilen) devre dışı bırakmasını sağladı. Bu devam eden saldırılar.
Ayrıca, daha fazla yapılandırma rehberliği için NSA'nın Akıllı Kurulum Protokolü Kötüye Kullanım Danışma ve Ağ Altyapısı Güvenlik Kılavuzunun gözden geçirilmesini önerdi.
2018'de Cisco Talos ekibi, Cisco SMI protokolünün, Rus destekli Dragonfly Apt Grubu (ayrıca çömelmiş Yeti ve Enerjik Ayı olarak da izlenen) dahil olmak üzere birden fazla hack grubuna bağlı saldırılarda Cisco anahtarlarını hedeflemek için istismar edildiği konusunda uyardı.
Saldırganlar, SMI istemcisinin çalışmasını sağlayan ve "kurulum/yapılandırma" komutlarını bekleyen protokolü yapılandırma veya devre dışı bırakılmamasından yararlandı.
Savunmasız anahtarlar, tehdit aktörlerinin yapılandırma dosyalarını değiştirmesine, iOS sistem görüntüsünü değiştirmesine, haydut hesap eklemesine ve TFTP protokolü aracılığıyla bilgileri dışarı atmasına izin verdi.
Şubat 2017 ve Şubat 2018'de Cisco, müşterileri kötü niyetli aktörlerin internete maruz kalan SMI özellikli Cisco cihazları için aktif olarak taradıkları konusunda uyardı.
Tehdit İzleme Servisi Shadowserver şu anda Ağustos 2023'te 11.000'den fazla bir süre sonra çevrimiçi olarak maruz kalan Cisco Smart Install özelliği ile 6.000'den fazla IP adresi izliyor.
CISA, saldırganların Cisco Network cihazlarından ödün vermek için zayıf şifre türlerinden yararlandıklarını tespit ettikten sonra, yöneticilere daha iyi şifre koruma önlemleri uygulaması önerildi.
Ajans, "Cisco şifre türü, bir Cisco aygıtının bir sistem yapılandırma dosyasında şifresini sağlamak için kullanılan algoritma türüdür. Zayıf şifre türlerinin kullanımı, şifre kırma saldırılarına olanak tanıyor."
"Erişim kazanıldıktan sonra, bir tehdit aktörü sistem yapılandırma dosyalarına kolayca erişebilir. Bu yapılandırma dosyalarına erişim, kötü niyetli siber aktörlerin mağdur ağlarından ödün vermesini sağlayabilir. Kuruluşlar, ağ cihazlarındaki tüm şifrelerin yeterli düzeyde depolanmasını sağlamalıdır. koruma. "
CISA, tüm Cisco cihazları için NIST onaylı Tip 8 şifre korumasını kullanmanızı önerir. Bu, şifrelerin şifre tabanlı tuş türev işlevi sürüm 2 (PBKDF2), SHA-256 karma algoritması, 80 bit tuz ve 20.000 yineleme ile karma olmasını sağlar.
Type 8 Privilege Exec modu şifrelerinin etkinleştirilmesi ve bir Cisco cihazında Type 8 şifresine sahip yerel bir kullanıcı hesabı oluşturma hakkında daha fazla bilgi NSA'nın Cisco Parola Türleri: En İyi Uygulamalar Kılavuzu.
Siber Güvenlik Ajansı, yapılandırma dosyalarındaki yönetici hesaplarını ve şifreleri güvence altına almak için en iyi uygulamaları izlemenizi önerir.
Bu, güçlü bir karma algoritması kullanarak şifreleri düzgün bir şekilde saklamayı, sistemlerde şifrenin yeniden kullanımından kaçınmayı, güçlü ve karmaşık şifreler kullanma ve hesap verebilirlik sağlamayan grup hesaplarını kullanmaktan kaçınmayı içerir.
Yönetici şifresi değişikliklerine izin veren Cisco SSM hatası için yayınlanan istismar
Cisco SSM Şirket içi hata, bilgisayar korsanlarının herhangi bir kullanıcının şifresini değiştirmesine izin verir
Cisa, devs'i işletim sistemi komut enjeksiyon güvenlik açıklarını ayıklamaya çağırıyor
CISA, yazılım geliştiricilerini SQL enjeksiyon güvenlik açıklarını ayıklamaya çağırıyor
Cisa, fidye yazılımı saldırılarında Windows Hatası'nı uyarıyor
Kaynak: Bleeping Computer