Američka agencija za cyber sigurnost i sigurnost infrastrukture (CISA) otkrila je da hakeri zloupotrebljavaju naslijeđenu funkciju Cisco Smart Install ( SMI ) s ciljem pristupa osjetljivim podacima.
Agencija je saopštila da je videla da su protivnici „stekli fajlove za konfiguraciju sistema koristeći dostupne protokole ili softver na uređajima, kao što je zloupotreba nasleđene funkcije Cisco Smart Install“.
Takođe je rečeno da nastavlja da primećuje slabe tipove lozinki koje se koriste na Cisco mrežnim uređajima, izlažući ih tako napadima probijanja lozinki. Tipovi lozinki odnose se na algoritme koji se koriste za obezbeđivanje lozinke Cisco uređaja u datoteci za konfiguraciju sistema.
Hakeri koji su u mogućnosti da dobiju pristup uređaju na ovaj način mogli bi lako pristupiti konfiguracijskim datotekama sistema, olakšavajući dublji kompromis mreža žrtava.
“Organizacije moraju osigurati da su sve lozinke na mrežnim uređajima pohranjene uz dovoljan nivo zaštite”, rekla je CISA, dodajući da preporučuje ” zaštitu lozinkom tipa 8 za sve Cisco uređaje kako bi zaštitili lozinke unutar konfiguracijskih datoteka.”
Takođe apeluje na preduzeća da pregledaju savete o zloupotrebi protokola za pametnu instalaciju (NSA) Agencije za nacionalnu bezbednost i Vodič za sigurnost mrežne infrastrukture radi konfigurisanja.
Dodatne najbolje prakse uključuju korištenje jakog algoritma za heširanje za pohranjivanje lozinki, izbjegavanje ponovne upotrebe lozinki, dodjeljivanje jakih i složenih lozinki i suzdržavanje od korištenja grupnih naloga koji ne pružaju odgovornost.
Razvoj dolazi kada je Cisco upozorio na javnu dostupnost koda za dokaz koncepta (PoC) za CVE-2024-20419 (CVSS rezultat: 10.0), kritičnu grešku koja utiče na Smart Software Manager On-Prem (Cisco SSM On-Prem ) koji bi mogao omogućiti udaljenom napadaču bez autentifikacije da promijeni lozinku bilo kojeg korisnika.
Glavni proizvođač mrežne opreme je takođe upozorio na višestruke kritične nedostatke (CVE-2024-20450, CVE-2024-20452 i CVE-2024-20454, CVSS rezultati: 9,8) u SPA300 serijama i SPA500 IP telefonima za mala preduzeća koji bi mogli dozvoliti napadač da izvrši proizvoljne komande na osnovnom operativnom sistemu ili izazove stanje uskraćivanja usluge (DoS).
“Ove ranjivosti postoje zato što dolazni HTTP paketi nisu pravilno provjereni za greške, što bi moglo rezultirati prelivom bafera”, rekao je Cisco u biltenu objavljenom 7. avgusta 2024.
“Napadač bi mogao iskoristiti ovu ranjivost slanjem kreiranog HTTP zahtjeva na pogođeni uređaj. Uspješno iskorištavanje moglo bi omogućiti napadaču da prelije interni bafer i izvrši proizvoljne komande na nivou root privilegija.”
Kompanija je saopštila da nema nameru da izdaje ažuriranja softvera kako bi otklonila nedostatke, jer su uređaji dostigli status na kraju životnog veka (EoL), što zahteva da korisnici pređu na novije modele.
Izvor:The Hacker News
