Attacco agli switch di Cisco

6 Apr 2018

Immaginate che all’improvviso la vostra connessione Internet non vada o che non riusciate a entrare nel vostro sito preferito. Ebbene, una ragione c’è: secondo alcune nostre fonti, gli switch di Cisco stanno subendo un forte attacco, e gli switch vengono utilizzati nei data center di tutto il mondo.

Il bot che colpisce i dispositivi Cisco

L’attacco sembra svolgersi nel seguente modo. Una minaccia sconosciuta sfrutta una vulnerabilità presente in un software chiamato Cisco Smart Install Client, che consente di attivare un codice arbitrario all’interno degli switch vulnerabili. I cybercriminali riscrivono l’immagine IOS di Cisco degli switch e modificano il file di configurazione, lasciando il seguente messaggio “Do no mess with our elections”. A partire da quel momento lo switch non è più utilizzabile.

Sembra che esista un bot che va alla ricerca degli switch Cisco vulnerabili da sfruttare attraverso il motore di ricerca di IoT Shodan (o forse sta utilizzando l’utility che la stessa Cisco ha creato per ricercare gli switch vulnerabili). Dopo averne individuato uno, sfrutta la vulnerabilità di Smart Install Client, riscrive l’intera configurazione e mette KO un intero segmento di Internet. Il risultato finale è che alcuni data center hanno smesso di funzionare e, di conseguenza, anche alcuni siti importanti.

Cisco Talos ha dichiarato che su Shodan sono stati individuati oltre 168 mila dispositivi vulnerabili. Non è ancora stata definita la portata dell’attacco, ma sembra essere piuttosto grande, in quanto sono stati colpiti numerosi data center e interi provider di Internet. L’attacco sembra colpire soprattutto segmenti di Internet di lingua russa, tuttavia l’area di attacco è piuttosto vasta.

Stiamo analizzando la natura dell’attacco e aggiungeremo in questo post informazioni in merito non appena disponibili.

Per gli amministratori di sistema: come gestire il problema

Inizialmente, la funzione Smart Install avrebbe dovuto rendere la vita più facile agli amministratori di sistema, in quanto consente di configurare e gestire in remoto gli switch Cisco e l’immagine OS. In altre parole, è possibile utilizzare un impianto su un sito in remoto per configurare il tutto dalla sede centrale (Zero Touch Deployment). Per fare ciò, deve essere attivato Smart Install Client e deve rimanere aperta la porta TCP 4786 (entrambe le opzioni sono attive di default).

Per verificare se Smart Install è attivo basta impiegare il comando “show vstack config”  dello switch. Se lo switch risponde positivamente al comando, vuol dire che Smart Install è attivato, e sarebbe meglio disattivarlo mediante il comando no vstack.

In ogni caso, in alcune versioni del sistema operativo di Cisco, tale comando funziona solo fino a quando si riavvia lo switch (sugli Cisco Catalyst 4500 e 4500-X Series Switches con sistema 3.9.2E/15.2(5)E2; sui Cisco Catalyst 6500 Series Switches con versioni del sistema 15.1(2)SY11, 15.2(1)SY5 e 15.2(2)SY3; sui Cisco Industrial Ethernet 4000 Series Switches con sistemi 15.2(5)E2 e 15.2(5)E2a; e sui Cisco ME 3400 e ME 3400E Series Ethernet Access Switches con OS 12.2(60)EZ11). In questo caso si consiglia l’upgrade (o persino il downgrade) della versione del sistema e di avviare il comando automatico “no vstack“. Per conoscere la versione del sistema operativo in uso, digitare il comando “show version“.

Se i processi aziendali non permettono la disattivazione di Smart Install o se la versione del vostro OS Cisco non supporta il comando “no vstack” (il che potrebbe essere, è stato aggiunto in una delle patch), allora sarebbe meglio limitare le connessioni alla porta 4786. Per fare ciò, Cisco consiglia di utilizzare Interface Access Control Lists: in questo modo solo gli impianti autorizzati potranno connettersi ai vostri switch mediante questa porta. Nel seguente esempio, l’impianto si trova sull’indirizzo IP 10.10.10.1. Esempio:

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

Qui troverete maggiori informazioni sulla vulnerabilità in questione. Qui, invece, troverete maggiori informazioni sull’uso non corretto del protocollo Smart Install.