Cisco-kytkinten haavoittuvuutta käytetään aktiivisesti hyväksi

Ciscon kytkimissä olevan Cisco Smart Install Client -ohjelmiston haavoittuvuuksia käytetään aktiivisesti hyväksi. Hyväksikäytön seurauksena kytkin saattaa lopettaa normaalin toimintansa. Smart Install -palvelu on oletusarvoisesti auki useiden Ciscon kytkinten porttissa TCP 4786. Kehotamme laitteiden ylläpitäjiä tekemään Ciscon suosittelemat haavoittuvuutta rajoittavat toimenpiteet.

Vuoden vanha heikkous edelleen monella paikkaamatta

Cisco varoitti jo helmikuussa 2017 tuotteidensa Smart Install -yhteyskäytännön väärinkäyttömahdollisuudesta. Uhkan pääasiallisena rajoituskeinona Cisco suositteli tuolloin Smart Install -palvelun kytkemistä pois käytöstä heti, kun sitä ei enää tarvitse. Smart Install on tarkoitettu pääasiassa helpottamaan kytkinten käyttöönottoa, eivätkä useimmat käyttäjät tarvitse sitä kytkinten käyttöönoton jälkeen.

Smart Install -palvelu on oletusarvoisesti päällä portissa TCP 4786. Jos kytkin on kytketty suoraan internetiin tai muut reitittimet reitittävät sille esteettä liikennettä internetistä, hyökkääjä voi suorittaa siinä omaa ohjelmakoodiaan. Pahantahtoiset toimijat skannaavat internetiä jatkuvasti haavoittuvien laitteiden löytämiseksi. 29.3.2018 lähtien skannausten määrä on kasvanut moninkertaiseksi.

Cisco julkaisi 9.4.2018 varoituksen, joka selventää helmikuussa 2017 julkaistua varoitusta ja sen jälkeen paljastuneiden haavoittuvuuksien suhdetta. Käytännössä helmikuussa 2017 julkaistun varoituksen ohjeet pätevät yhä.

Uusia haavoittuvuuksia

Cisco julkaisi 28.3.2018 ohjelmistopäivityksen, joka korjaa uusia haavoittuvuuksia Ciscon kytkinten IOS- ja IOS XE -käyttöjärjestelmissä. Eräs haavoittuvuuksista koskee Smart Install Client -ohjelmistoa. Tiedotimme niistä haavoittuvuustiedotteessa 009/2018. Joihinkin korjatuista haavoittuvuuksista on julkisesti tiedossa hyväksikäytön esimerkkikoodi, mutta Ciscon tietoon ei ole tullut laajamittaista hyväksikäyttöä.

Verkkoliikenteen häiriöitä

Ciscon tietoturva-analyysiyksikkö Talos kirjoitti 5.4.2018 havainneensa Smart Installin haavoittuvuuksia hyökkäysten lisääntyneen erityisesti kriittistä infrastruktuuria operoiviin organisaatioihin. Tietoturvayhtiö Kaspersky puolestaan kirjoitti 6.4., että lukuisten organisaatioiden verkkoliikenne on lakannut osin tai kokonaan toimimasta Smart Installin haavoittuvuuksien hyväksikäytön seurauksena. Hyökkääjä on korvannut kytkinten käyttöjärjestelmän ja konfiguraatiotiedot omalla ohjelmakoodillaan.

Suositukset ylläpitäjille

Suosittelemme, että Ciscon kytkimiä ylläpitävät henkilöt noudattavat Ciscon antamia ohjeita Smart Installin hyväksikäyttömahdollisuuksien rajoittamiseksi. Ohjeita kannattaa noudattaa, vaikka kytkimet olisivat sisäverkossa.

Suosittelemme myös ylläpitäjille Ciscon julkaisemien haavoittuvuuksia korjaavien ohjelmistopäivitysten asentamista.

Lisätietoja

Päivityshistoria

Asiasanat: Internet , Tietoturva , Exploit , Haittaohjelma , Tietomurto , Verkkolaite , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248