サマリー
Talos は, Cisco Smart Install クライアントを見つけることを意図してお客様のインフラストラクチャに対するアクティブ スキャンを開発しました。Cisco Smart Install
は、LAN スイッチの運用を促進する Cisco Smart Operations ソリューションコンポーネントの一つです。調査は、該当デバイスからカスタマー設定のコピーを取得するために悪意のある攻撃者が Smart Install プロトコルの詳細情報を活用する可能性があることがわかりました。攻撃は Smart Install プロトコルの既知の問題を活用します。Cisco PSIRT はこのアクティビティへのセキュリティ対応を公開しました。Smart Install プロトコルの悪用は TFTP サーバ設定の変更、TFTP 経由で構成ファイルの漏えい、IOS イメージの交換、IOS コマンドの実行につながる可能性があります。
シスコは影響を受けたシステムをスキャンする Smart Instal Exploitation Tool (SIET)というツールを開発し、一般公開しました。ここから入手できます。このツールは、これらの攻撃で使用できます。
保護
この問題にさらされている顧客の理解をサポートするために、独自のスキャン ツールおよび、影響を受けたシステムを特定し、SIETアクティビティを検出するための予備 Snort 規制をリリースしました。
Talos のスキャン ユーティリティ
Talosは、Smart Install クライアント プロトコルの悪用に影響を受けたかどうかを判断するためにインフラウストラクチャをスキャン ユーティリティを開発しました。このツールはここから入手できます。
カバレッジ
Snort ルール
Talos は sids 41722-41725の形式でこの問題のカバレッジを作成しました。これらのルールはコミュニティ ルール セットの一部として迅速に提供され、ダウンロードはこちらからできます。
Cisco FirePOWER、Snort のサブスクライバルールセットには、カバレッジを受けるために、顧客は最新のルール更新をしていることを確認する必要があります。
さらに、一般的な TFTP アクティビティ規制、sid:518 および sid:1444 がありますが、これらは問題に特定なものではなく、明示的に有効にする必要があります。
詳細情報
Cisco PSIRT は問題に関連するブログ投稿を公開しました:
Smart Install のセキュリティ対策の詳細なガイダンスはこちらをご覧ください:
Smart Install に関する追加のサードパーティの調査はこちらをご覧ください:
https://2016.zeronights.ru/wp-content/uploads/2016/12/CiscoSmartInstall.v3.pdf
Talos はすべてのパートナーが迅速に公開されたセキュリティ ガイドラインに従ってシステムを保護する手順を講じることを推奨します。
ネットワークセキュリティの緊急は、次の電話番号で Cisco Technical Assistance Center (TAC)にご連絡ください:
米国/カナダ: +1 800 553-2447
米国以外:国際窓口
シスコは、進行中の攻撃に迅速に対応し、従業員と共に現在および将来の攻撃を最小化するインシデント対応計画を策定します。
本稿は 2017年2月27日に Talos Group
Authors