思科正在淡化安全问题智能安装交换机管理软件,允许未经验证访问客户配置详细信息。
Cisco将Smart Install定义为一项传统功能,为新交换机(通常为访问层交换机)提供零接触部署。
+更多关于网络世界足球竞猜app软件的信息:思科贾斯珀增长物联网覆盖范围、广度+
思科写道在本周的博客中一个“智能安装网络包含一个智能安装”经理交换机或路由器,又称综合分行总监(IBD)),以及一个或多个智能安装客户端开关,又称综合分行客户机(IBC)). 仅智能安装客户端开关受到滥用的影响。虽然没有明显迹象表明攻击者滥用智能安装功能,但Cisco建议客户查找任何计划外的设备配置更改、重新加载或从外部IP地址访问。”
Cisco的Talos安全团队写道,“已经意识到针对客户基础设施的主动扫描,目的是查找Cisco智能安装客户端。思科智能安装是Cisco智能操作解决方案的一个组件,该解决方案有助于局域网交换机的管理。研究表明,恶意参与者可能利用对智能安装协议的详细了解,从受影响的设备获取客户配置的副本。该攻击利用了智能安装协议的已知问题。滥用智能安装协议可能导致修改TFTP[普通文件传输协议]服务器设置、通过TFTP过滤配置文件、替换IOS映像以及可能执行IOS命令。”
但思科安全公司表示:"它不认为这是一种脆弱性。在Cisco IOS、IOS XE或Smart Install功能本身中,这是对Smart Install协议的滥用,不需要设计验证。”
Cisco表示,如果客户端和控制器之间的智能安装协议中没有授权或身份验证机制,则客户端可以处理精心编制的SMI协议消息,就像这些消息来自智能安装控制器一样,并执行以下操作:
- 复制IBC的启动组态文件到以前更改的、由攻击者控制的TFTP服务器
- 代替客户的启动组态文件中包含攻击者准备的文件,并在定义的时间间隔后强制重新加载IBC
- 将攻击者提供的IOS映像加载到IBC
- 在IBC上执行高权限配置模式CLI命令,包括执行官CLI命令。命令运行产生的任何输出或提示都将出现在IBC的本地控制台上(这仅在IOS 15.2(2)E及更高版本和IOS XE 3.6.0E及更高版本中可能)
关于这个问题有很多信息,Talos说它已经开发了一个扫描工具,所有用户都可以在其基础设施上运行该工具,以确定他们是否会受到滥用Smart Install Client协议的影响。可以找到这个工具在这里.
思科表示已经更新了智能安装配置指南包括有关在客户基础设施中部署思科智能安装特性的安全最佳实践。
+更多关于网络世界足球竞猜app软件的信息:思科高管预测2017年关键企业网络趋势+
思科表示,寻求零接触部署的客户应考虑部署思科网络即插即用解决方案。
思科表示,Tenable Network Security的布赖恩·马丁(Brian Martin)、Trustwave SpiderLabs的丹尼尔·特纳(Daniel Turner)以及数字安全的亚历山大·埃夫斯蒂涅夫(Alexander Evstigneev)和德米特里·库兹涅佐夫(Dmitry Kuznetsov)都报告了智能安装的问题。
看看其他热门故事:
以太网2.5GBASE-T和5GBASE-T不断增长,在UNH实验室进行测试