思科正在淡化a安全问题与它的智能安装开关管理软件,可以允许未经身份验证访问客户配置细节。
思科将智能安装定义为一种传统功能,为新交换机提供零接触部署,通常是接入层交换机。
+更多关于网络世界有个足球雷竞技app:思科碧玉将物联网发展到广度、广度+
思科写道在这周的博客上一个智能安装网络由一个智能安装组成导演交换机或路由器,也称为综合分部主任(IBD)),以及一个或多个智能安装客户端开关,也称为集成分支客户端)。只有聪明的安装客户端开关受到滥用的影响。虽然没有明显的迹象表明攻击者滥用智能安装功能,思科建议客户寻找任何未计划的设备配置更改,重新加载,或从外部IP地址访问。
思科的Talos安全团队写道,他们“已经意识到针对客户基础设施的主动扫描,目的是寻找思科智能安装客户端。思科智能安装是思科智能操作解决方案的一个组成部分,促进局域网交换机的管理。研究表明,恶意行为者可能利用智能安装协议的详细知识,从受影响的设备获取客户配置的副本。攻击利用了智能安装协议的一个已知问题。智能安装协议的滥用可能导致TFTP服务器设置的修改,通过TFTP泄露配置文件,IOS映像的替换,以及可能执行IOS命令。”
但思科安全公司说"它不认为这是一个漏洞但这是对智能安装协议的滥用,因为智能安装协议在设计上不需要认证。”
思科表示,由于客户端和控制器之间的智能安装协议中没有授权或认证机制,因此客户端可以像处理来自智能安装控制器的SMI协议消息一样处理这些消息,并执行如下操作:
- 复制IBC的startup-config文件到先前更改的、由攻击者控制的TFTP服务器
- 代替客户的startup-config攻击者准备的文件,并强制在指定的时间间隔后重新加载IBC
- 将攻击者提供的IOS映像加载到IBC上
- 在IBC上执行高特权配置模式CLI命令,包括do-execCLI命令。命令运行的任何输出或提示都将出现在IBC的本地控制台(这只在IOS 15.2(2)E和IOS XE 3.6.0E及以后版本中可能)。
关于这个问题有很多信息,Talos说它已经产生了一个扫描工具,所有用户都可以在他们的基础设施上运行,以确定他们是否会受到滥用智能安装客户端协议的影响。可以找到这个工具在这里。
思科表示,他们已经更新了智能安装配置指南包括关于在客户基础设施中部署思科智能安装特性的安全最佳实践。
+更多关于网络世界有个足球雷竞技app:思科高管预测2017年企业网络发展趋势+
思科表示,寻求超过零触控部署的客户应考虑部署思科网络即插即用解决方案。
思科表示,来自成立网络安全公司的布莱恩·马丁,来自Trustwave SpiderLabs的丹尼尔·特纳,以及来自数字安全公司的亚历山大·伊夫斯蒂格尼夫和德米特里·库兹涅佐夫已经报告了智能安装的问题。
看看其他热门故事:
以太网2.5GBASE-T和5GBASE-T增长,在UNH实验室进行测试