September 24, 2020

Language:

CamSA18-11 : សូមមានការប្រុងប្រយ័ត្នចំពោះការវាយប្រហារទៅលើចំនុចខ្សោយរបស់ឧបករណ៍ Cisco

១.សេចក្តីផ្តើម

កាលពីថ្ងៃទី០៨ ខែមេសា​ ឆ្នាំ២០១៨ មានការរាយការណ៍អំពីការកើនឡើងនូវការវាយប្រហារទៅលើឧបករណ៍របស់ក្រុមហ៊ុន Cisco ដែលបណ្តាលឲ្យបណ្តាញណេតវើកគាំងមិនដំណើរការនៅក្នុងបណ្តាប្រទេសមួយចំនួនរួមមាន សហរដ្ឋអាមេរិក រុស្សី និងអ៊ីរ៉ង់។ ការវាយប្រហារនេះធ្វើទៅបានដោយការវាយលុកទៅលើចំណុចខ្សោយ ដែលមានលេខសំគាល់ CVE-2018-0171 នៃ Cisco Smart Install ដែលត្រូវបានគេវាយតំលៃដាក់ចំណាត់ថ្នាក់លេខ 9.8 លើ 10 (ធ្ងន់ធ្ងរបំផុត)។

អ្នកវាយប្រហារពីចម្ងាយអាចវាយលុកទៅលើចំណុចខ្សោយនេះដោយការបញ្ជូននូវកូដបញ្ជាទៅកាន់ឧបករណ៍ (មិនបានជួសជុលកំហុសឆ្គង) តាមរយៈ TCP port 4786​​។បន្ទាប់មកវានឹងដំណើរការក្នុងលក្ខណៈ denial of service (Dos) ឬក៏ដំណើរការនូវកូដនៅលើឧបករណ៍នោះ។

មុខងារ​ Cisco Smart Install ផ្តល់នូវការដាក់ឲ្យដំណើរការ (zero-touch) សម្រាប់ឧបករណ៍ថ្មី ដែលស្រដៀងនឹងមុខងារ “plug-and-play”។ វាអាចអនុញ្ញាតឲ្យអតិថិជនដាក់ឧបករណ៍នោះទៅក្នុងទីតាំងណាមួយក៏បាន ហើយធ្វើការតម្លើងវាទៅក្នុងបណ្តាញសម្រាប់ការប្រើប្រាស់ភ្លាមដោយមិនចាំបាច់ធ្វើការ configure អ្វីបន្ថែមឡើយ។

២.ផលិតផលដែលរងផលប៉ៈពាល់

ឧបករណ៍ណេតវើករបស់ក្រុមហ៊ុន Cisco ដែលដំណើរការនូវប្រព័ន្ធប្រតិបត្តិការមានចំនុចខ្សោយនៃ Cisco IOS ឬ IOS XE software ដែលមានមុខងារ Smart Install ដំណើរការ។

៣.ផលប៉ៈពាល់

អ្នកវាយប្រហារដែលបានវាយលុកដោយជោគជ័យទៅលើចំនុចខ្សោយនោះ អាចមានលទ្ធភាពក្នុងការដំណើរការកូដពីចម្ងាយ (remotely execute) ដោយមិនចាំបាច់ត្រូវការសិទ្ធិអនុញ្ញាត (authentication) ដែលអាចឲ្យមានការគ្រប់គ្រងពេញលេញទៅលើឧបករណ៍នោះ។ នៅក្នុងករណីជាច្រើន វាអាចឲ្យមានការគាំងបណ្តាញ ស្រដៀងទៅនឹង denial-of-service ហើយក៏អាចធ្វើការកែប្រែនូវការកំណត់ configuration ផងដែរ។

៤.ការណែនាំ

អ្នកត្រួតពិនិត្យត្រាហ្វិកណេតវើកគួរតែធ្វើការពិនិត្យទៅលើការកើនឡើងនូវការស្កេនលើ TCP port 4786 ដោយ “Cisco Smart Install” ប្រើប្រាស់ទៅលើ​ port
មួយនេះ​ ។

សម្រាប់អភិបាលគ្រប់គ្រងណេតវើកគួរតែ

– ធ្វើការពិនិត្យទៅលើសេចក្តីណែនាំរបស់ក្រុមហ៊ុន Cisco ហើយធ្វើការអាប់ដេតទៅលើឧបករណ៍ដែលរងផលប៉ៈពាល់
– ប្រើប្រាស់​ Cisco IOS Software Checker ដើម្បីធ្វើការផ្ទៀងផ្ទាត់ថាតើ IOS និង​ IOS XE Software ដែលអ្នកកំពុងប្រើប្រាស់មានផលប៉:ពាល់ឬទេ
– បិទមុខងារ “Cisco Smart Install” បើសិនជាមិនត្រូវការ ដោយប្រើប្រាស់ពាក្យបញ្ជា “no vstack” ។​
– ធ្វើការផ្ទៀងផ្ទាត់ម្តងទៀតដោយប្រើប្រាស់ពាក្យបញ្ជា “show vstack status [detail]” និង “show vstack download-status [detail]” ។ ពេលនោះ អ្នកនឹងឃើញ “Smart Install: DISABLED”

៥. វេបសាយពាក់ព័ន្ធ

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

https://www.reuters.com/article/us-iran-cyber-hackers/iran-hit-by-global-cyber-attack-that-left-u-s-flag-on-screens-idUSKBN1HE0MH

https://www.bleepingcomputer.com/news/security/iranian-and-russian-networks-attacked-using-ciscos-cve-2018-0171-vulnerability/

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.