I TechWorld uppmärksammades nyligen en sedan tidigare känt problem med Cisco Smart Install som nu har börjat användas i större skala för att kartlägga och attackera organisationer. Varningen kommer från flera säkerhetstjänster runt om i världen och US-CERTS och även CERTS-SE har uppmärksammat och varnat om en förhöjd hotbild.
Genom att scanna internet så har forskare identifierat runt 200 000 internetuppkopplade enheter som kör Smart Install, och som svenska forskare beskriver enligt TechWorld så är det 20000-25000 i Sverige.
Cisco kom den 16 april med nya säkerhetsrekommendationer om Smart Install.
Vad är Cisco Smart Install?
Smart Install är en Zero-touch deployment-teknologi för Cisco IOS och IOS-XE som hjälper till att installera en IOS image och/eller konfiguration på en ny switch när den startar upp.
Smart Install består av:
- Director som skickar IOS imagen och konfigurationen som ska användas.
- Klient som frågar efter IOS image och/eller konfiguration.
När en klient startar upp på nätverket och frågar efter en IP adress via DHCP så känner Director av detta genom att den står mellan DHCP servern och klienten som frågar. IBD kan då se till att klienten hämtar det den behöver från en TFTP server.
Vad är sårbarheten i Smart Install?
Det sista året har det kommit två säkerhetsrisker med Cisco Smart Install, i Februari 2017 så visade det sig att man kan missbruka hur Smart Install fungerar i sig och att någon som attackerar funktionen skulle kunna byta konfiguration och IOS image på switchen. Nu i år har det hittats en RCE, remote code execution, sårbarhet i Smart Install som är under utredning, CVE-2018-0171.
Attacken som US-CERTS skriver om och som de olika säkerhetstjänsterna larmar om är den första från 2017, där man kan missbruka Smart Install genom att utnyttja TFTP på ett sätt som inte verifieras i klientswitchen och på så sätt få klienten att byta IOS image och/eller konfiguration.
Kan man byta ut konfigurationen i en switch så kan man också dirigera om trafik för en Man-in-the-middle-attack eller för att öppna så att man kan ta sig in i nätverket. Kommer man åt nätverksinfrastrukturen som är ryggraden i ett företags infrastruktur så har man stora möjligheter att komma åt resten som finns där, exempelvis servrar, klienter och IoT-enheter.
Vad ska man göra mot denna sårbarhet?
Cisco Smart Install använder switchens administrations IP-adress och det första man ska se över är om man har nätverksenheter exponerade mot internet. Har man detta så måste man fundera på varför det behövs och på risken detta medför, det är något som i de flesta fall inte kan rekommenderas.
Även i sitt nätverk bör man skydda sitt administrationsnät och det som är grunden i ett företagsnät idag är att segmentera och dela upp nätverket i säkerhetszoner. Det gör man för att minska risken av att exponera olika system mellan zoner och för att minska möjligheten att någon utan behörighet kan flytta sig i mellan system i nätverket. Man får kontroll över vad och eventuellt vem som får access till nätverkets administrationsnät genom sin NGFW.
Har man inte möjlighet till en segmentering efter en zonmodell kan man använda Infrastructure access control list, iACL, för att styra vilken IP som får prata med switchen på porten för Smart Install, TCP 4786. En iACL sätts på up-link, switch porten för inkommande trafik.
Om man inte använde Smart Install bör man stänga av detta med följande kommando i switchen:
no vstack
Har man en switch med äldre IOS så är det inte möjligt att stänga av Smart Install. Då bör man helt blockera trafik till porten för Smart Install. Detta kan göras i brandväggen eller med iACL på switchen och i vissa fall med CoPP, Control Plane Policing.
Om du använder Cisco Smart Install så är det rekommenderat att läsa igenom sektionen Security Best Practices i dokumentationen från Cisco.
Se även US-CERTS, Ciscos blogg och TALOS blogg för mer information
Hur kan man hitta enheter som kör Smart Install?
Har du inte många switchar kan du se detta med följande kommando på switchen:
switch# show vstack config
Role: Client (SmartInstall disabled)
Vstack Director IP address: 0.0.0.0
Genom att scanna switchar och routrar får man reda på om Smart Install är påslaget. Scanna kan man göra med flera verktyg bland annat har Ciscos TALOS ett Open source verktyg för att hitta enheter som kör Smart Install.
Med Nmap har du också möjlighet att identifiera Smart Install genom att scanna följande porten med kommandot:
nmap -p 4786 <IP adress>
Tenable Nessus använder plugin 105161 för att identifiera Smart Install.
Det finns Snort regler publicerade för att hitta Smart Install i nätverket, Snort rules 41722-41725.
På switchen kan man se om Smart Install kör med kommando:
show vstack config
switch#show vstack config | inc Role
Role: Client (SmartInstall enabled)
Det finns även en lista från Cisco över vilka modeller som kör Smart Install.
Vad gör jag med mina ytterligare frågor?
Du kontaktar oss så återkommer vi snarast med svar på eventuella frågor! På Conscia Netsafe erbjuder vi expertis inom Ciscos breda säkerhetsportfölj med bland annat klientsäkerhet och säkerhetsanalyser.
Välkommen!
[email protected]
Sr Security Engineer, CCIE Security #51822
Conscia Netsafe
