December 11, 2018

Language:

CamSA18-11 : សូមមានការប្រុងប្រយ័ត្នចំពោះការវាយប្រហារទៅលើចំនុចខ្សោយរបស់ឧបករណ៍ Cisco

១.សេចក្តីផ្តើម

កាលពីថ្ងៃទី០៨ ខែមេសា​ ឆ្នាំ២០១៨ មានការរាយការណ៍អំពីការកើនឡើងនូវការវាយប្រហារទៅលើឧបករណ៍របស់ក្រុមហ៊ុន Cisco ដែលបណ្តាលឲ្យបណ្តាញណេតវើកគាំងមិនដំណើរការនៅក្នុងបណ្តាប្រទេសមួយចំនួនរួមមាន សហរដ្ឋអាមេរិក រុស្សី និងអ៊ីរ៉ង់។ ការវាយប្រហារនេះធ្វើទៅបានដោយការវាយលុកទៅលើចំណុចខ្សោយ ដែលមានលេខសំគាល់ CVE-2018-0171 នៃ Cisco Smart Install ដែលត្រូវបានគេវាយតំលៃដាក់ចំណាត់ថ្នាក់លេខ 9.8 លើ 10 (ធ្ងន់ធ្ងរបំផុត)។

អ្នកវាយប្រហារពីចម្ងាយអាចវាយលុកទៅលើចំណុចខ្សោយនេះដោយការបញ្ជូននូវកូដបញ្ជាទៅកាន់ឧបករណ៍ (មិនបានជួសជុលកំហុសឆ្គង) តាមរយៈ TCP port 4786​​។បន្ទាប់មកវានឹងដំណើរការក្នុងលក្ខណៈ denial of service (Dos) ឬក៏ដំណើរការនូវកូដនៅលើឧបករណ៍នោះ។

មុខងារ​ Cisco Smart Install ផ្តល់នូវការដាក់ឲ្យដំណើរការ (zero-touch) សម្រាប់ឧបករណ៍ថ្មី ដែលស្រដៀងនឹងមុខងារ “plug-and-play”។ វាអាចអនុញ្ញាតឲ្យអតិថិជនដាក់ឧបករណ៍នោះទៅក្នុងទីតាំងណាមួយក៏បាន ហើយធ្វើការតម្លើងវាទៅក្នុងបណ្តាញសម្រាប់ការប្រើប្រាស់ភ្លាមដោយមិនចាំបាច់ធ្វើការ configure អ្វីបន្ថែមឡើយ។

២.ផលិតផលដែលរងផលប៉ៈពាល់

ឧបករណ៍ណេតវើករបស់ក្រុមហ៊ុន Cisco ដែលដំណើរការនូវប្រព័ន្ធប្រតិបត្តិការមានចំនុចខ្សោយនៃ Cisco IOS ឬ IOS XE software ដែលមានមុខងារ Smart Install ដំណើរការ។

៣.ផលប៉ៈពាល់

អ្នកវាយប្រហារដែលបានវាយលុកដោយជោគជ័យទៅលើចំនុចខ្សោយនោះ អាចមានលទ្ធភាពក្នុងការដំណើរការកូដពីចម្ងាយ (remotely execute) ដោយមិនចាំបាច់ត្រូវការសិទ្ធិអនុញ្ញាត (authentication) ដែលអាចឲ្យមានការគ្រប់គ្រងពេញលេញទៅលើឧបករណ៍នោះ។ នៅក្នុងករណីជាច្រើន វាអាចឲ្យមានការគាំងបណ្តាញ ស្រដៀងទៅនឹង denial-of-service ហើយក៏អាចធ្វើការកែប្រែនូវការកំណត់ configuration ផងដែរ។

៤.ការណែនាំ

អ្នកត្រួតពិនិត្យត្រាហ្វិកណេតវើកគួរតែធ្វើការពិនិត្យទៅលើការកើនឡើងនូវការស្កេនលើ TCP port 4786 ដោយ “Cisco Smart Install” ប្រើប្រាស់ទៅលើ​ port
មួយនេះ​ ។

សម្រាប់អភិបាលគ្រប់គ្រងណេតវើកគួរតែ

– ធ្វើការពិនិត្យទៅលើសេចក្តីណែនាំរបស់ក្រុមហ៊ុន Cisco ហើយធ្វើការអាប់ដេតទៅលើឧបករណ៍ដែលរងផលប៉ៈពាល់
– ប្រើប្រាស់​ Cisco IOS Software Checker ដើម្បីធ្វើការផ្ទៀងផ្ទាត់ថាតើ IOS និង​ IOS XE Software ដែលអ្នកកំពុងប្រើប្រាស់មានផលប៉:ពាល់ឬទេ
– បិទមុខងារ “Cisco Smart Install” បើសិនជាមិនត្រូវការ ដោយប្រើប្រាស់ពាក្យបញ្ជា “no vstack” ។​
– ធ្វើការផ្ទៀងផ្ទាត់ម្តងទៀតដោយប្រើប្រាស់ពាក្យបញ្ជា “show vstack status [detail]” និង “show vstack download-status [detail]” ។ ពេលនោះ អ្នកនឹងឃើញ “Smart Install: DISABLED”

៥. វេបសាយពាក់ព័ន្ធ

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

https://www.reuters.com/article/us-iran-cyber-hackers/iran-hit-by-global-cyber-attack-that-left-u-s-flag-on-screens-idUSKBN1HE0MH

https://www.bleepingcomputer.com/news/security/iranian-and-russian-networks-attacked-using-ciscos-cve-2018-0171-vulnerability/

https://embedi.com/blog/cisco-smart-install-remote-code-execution/