Cisco Smart Install Client を悪用する攻撃に関する注意喚起

Cisco Smart Install Client を悪用する攻撃に関する注意喚起


日本語訳が出たので転記します。
この脆弱性は深刻です。幸い、現在シスコのルーターは使用していないため、被害はありません。
ただ、ルーターを狙った攻撃は今後も増える傾向にあるので、油断できません。
https://www.jpcert.or.jp/at/2018/at180013.html
I. 概要
Cisco Talos は、2018年4月5日 (現地時間) に、Cisco Smart Install Client
を悪用した攻撃に関するブログ記事を公開しました。Cisco Smart Install
Client は、Cisco 製スイッチにおけるプラグアンドプレイ設定とイメージ管
理のための機能およびプロトコルです。公開された情報によると、この問題を
悪用する Cisco 製スイッチを対象とした攻撃が確認されているとのことです。
詳細は、Cisco Talos からの情報を参照してください。
Cisco Talos
    Critical Infrastructure at Risk: Advanced Actors Target Smart Install Client
    http://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html
Cisco は、この問題に対して、2017年2月にアドバイザリを公開しています。
Cisco
    Cisco Smart Install Protocol Misuse
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi
また、Cisco は、2018年3月28日 (現地時間) に、Cisco Smart Install
Client について、この問題とは異なる脆弱性情報 (CVE-2018-0171) を記載し
たアドバイザリを公開しています。詳細は Cisco からの情報を参照してくだ
さい。
Cisco
    Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
JPCERT/CC では、この脆弱性を悪用する攻撃コードの存在を確認しており、イン
ターネット定点観測システム (TSUBAME) では、脆弱性の情報が公開された時
期から、Cisco Smart Install Client が使用する 4786/tcp ポートに対する
スキャンが増加していることを確認しています。
https://www.jpcert.or.jp/at/2018/at180013_fig1.png
4786/tcp (Cisco Smart Install Client) へのスキャン [2018年3月1日~2018年4月5日]
Cisco からは、これらの問題を悪用されないようにする対策が示されています。
該当する製品の利用者は、適切な対策を施すことを推奨します。
II. 対象
Cisco の情報によると、次のソフトウエアがこれらの問題の影響を受けます。
- Cisco Smart Install Client 機能が有効になっている Cisco IOS ソフトウエア
- Cisco Smart Install Client 機能が有効になっている Cisco IOS XE ソフトウエア
III. 対策
Cisco からのアドバイザリを参考に対策を行うことを推奨します。
・cisco-sa-20180328-smi2
Cisco から対策が施されたバージョンが提供されています。Cisco が提供する情報を参照の上、修正済みバージョンを適用することをお勧めします。
・cisco-sa-20170214-smi
次の対策の実施を検討してください。
- Cisco Smart Install Client 機能が不必要に有効になっていないか確認する
運用している Cisco 製スイッチで、Cisco Smart Install Client 機能を使用
しない場合は、Cisco Smart Install Client 機能を無効にしてください。
- Cisco Smart Install Client に向けた外部からの通信を制限する
Cisco Smart Install Client の機能を使用している場合は、必要最小限の IP
アドレスからの通信のみ許可するよう制限することを検討してください。
IV. 参考情報
Cisco Talos
Critical Infrastructure at Risk: Advanced Actors Target Smart Install Client
http://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html
Cisco
    Cisco Smart Install Protocol Misuse
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi
Cisco
    Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
NICTER Blog
    Cisco Smart Install プロトコルを狙った攻撃の急増
    http://blog.nicter.jp/reports/2018-03/cisco-switch-hack/

コメント

コメントを投稿

このブログの人気の投稿

スフィロミニをスクラッチでうごかす Manipulate Sphero mini on Scratch

2018年11月20日に「Scratch Helper Apps」のバージョン0.8.6が公開されました。 PICAXE has released "Scratch Helper Apps" Version 0.8.6 on November 20, 2018. これを使うとScratch(スクラッチ)からSphero mini(スフィロミニ)を遠隔操作することができます。早速やってみましょう。 This application will assist communication between Scratch and Sphero mini. And you can remotely control Sphero mini. Let's do it. 準備する物 (Preparation) Windows10のパソコン (Windows 10 PC) Sphero mini(スフィロミニ) ★ ヨドバシカメラ などで購入できます。七千円弱? BLED112-V(Silicon Labs / Bluegiga) ★ マルツ などで購入できます。二千円弱? Scratch(スクラッチ) Scratch Helper Apps ミニ知識 スフィロミニはBluetooth(ブルートゥース) Low Enegy(ローエナジー)という規格の無線で通信します。通常のブルートゥースとちがって、省電力用に設計された規格です。パソコンからブルートゥース・ローエナジーに対応したアダプターを使用して通信する必要があります。また、これから使用するS2Bot App for Windowsは、Silicon Labs(シリコンラボ)社のBLED112-V1というアダプタが必要です。 遠隔操作する環境を準備する Windows10パソコン Windows10パソコンを起動します。管理者権限を持つユーザーとしてログインできるとことまでは頑張って準備してください。 スフィロミニも開封してUSBケーブルを挿して充電しておきます。スフィロミニは1時間充電すると、操作方法にもよりますが約1時間操作することができます。 ブルートゥース・ローエナジーアダプター シリコンラボ社製BLED112-V1というブルートゥース・ローエ...
続きを読む

Cent OS 7.5 でタッチパッドが使えなかったのでその対応メモ

Cent OS 7.5 に GNOME デスクトップ環境を構築すると、タッチパッドが使えなかった。 デバイスがロードされていないので、以下の手順でロードした。 ターミナルを起動して、続けて以下の操作を実行する。 [user@host ~]$ sudo vi /etc/default/grub ... GRUB_CMDLINE_LINUX_DEFAULT="... quiet splash i8042.nopnp " ... :wq 赤字のコード「 i8042.nopnp 」を「GRUB_CMDLINE_LINUX_DEFAULT」の項目の最後に追加で書き込んで閉じる。 [user@host ~]$ sudo grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg uEFIのgrub設定を更新する。 [user@host ~]$ sudo echo "blacklist i2c_hid" > /etc/modprobe.d/i2c-hid.conf i2c_hid モジュールが誤ってロードされないようにブラックリストに登録する。 [user@host ~]$ sudo cp -v /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).img.bak initramfs を更新する。 [user@host ~]$ sudo dracut -f && reboot dracut で初期RAMイメージを作成して再起動する。レガシーデバイス(PS/2)として認識されるタッチパッドは、この手順でロードできる。以下のコマンドでロードされた状態を確認できる。 [user@host ~]$ xinit Virtual core pointer ...  ETPS/2 Elantech Touchpad id=13 [slave pointer(2)] ...
続きを読む

新しいWebベースのマルウェア配布チャネル「BlackTDS」サーフェス

新しいWebベースのマルウェア配布チャネル「BlackTDS」サーフェス リンジー・オドネル ダークウェブ上でマルウェアの新しいトラフィック配信システムがサービスとして提供されており、エクスプロイトキットやマルウェアを導入する手頃な方法として宣伝されています。 トラフィック配信システム(TDS)は、それを見つけたProofpointの研究者によってBlackTDSと呼ばれています。 トラフィック配信システムは、1つのサイトから別のサイトへトラフィックを売買するブローカーとして機能します。 これらは、ユーザーのブラウザ、IPアドレス、地理、ユーザーエージェントのデータに基づいてトラフィックをフィルタリングすることによって価値を付加します。 ユーザーがTDSチェーンの一部であるリンクをクリックすると、プロファイルに基づいて悪意のあるWebページに自動的にリダイレクトされます。 TDSシステムは、エクスプロイトキットや偽のダウンロードを介してWebベースのマルウェアを配布する際に犯罪者を助けることで有名です。 Proofpointが見つけたのは、ダークウェブ上のクラウドTDSという名前のサービスとしてのTDSでした。 このサービスは、他のTDS製品と同じくらい完全には機能していません。 脅威の俳優はBlackTDSに自分のトラフィックを送る必要があります。 そこから、BlackTDSは犠牲者のプロファイルデータを使用して、ユーザーに公開する悪用可能なキットやマルウェアを最適化することを約束しました。 「通信事業者は、クラウドTDSがボット、つまり研究者やサンドボックスによる検出を防ぎながら、ソーシャルエンジニアリングとリダイレクトを利用してキット(EK)を利用できると主張しています。 必要に応じてクラウドTDSものProofpointによると、」HTTPS経由のきれいな評判と新鮮なドメインへのアクセスを含んで 水曜日に公開レポート 。 Proofpointは、ツールが2017年12月末から地下市場に広告されていると述べた。 Proofpoint氏は、「BlackTDSの感染チェーンは数回にわたり野生で観察され、偽のソフトウェアアップデートやその他の社会工学的手法によってマルウェアを配布しています。 Proofpointによれば、Bl...
続きを読む