Các nhà nghiên cứu bảo mật tại Embedi đã tiết lộ một lỗ hổng quan trọng trong phần mềm Cisco IOS và phần mềm Cisco IOS XE. Lỗ hổng này cho phép kẻ tấn công từ xa không cần xác thực, thông qua các thiết bị chuyển mạch Cisco có thể thực hiện mã tùy ý, kiểm soát các thiết bị mạng và ngăn chặn lưu lượng truy cập.

Tin tặc có thể hack hàng ngàn thiết bị chuyển mạch Cisco từ xa
Cảnh báo về lỗ hổng nghiêm trọng trên bộ chuyển mạch Cisco

Lỗ hổng ngăn xếp trên cơ sở lỗi tràn bộ nhớ đệm (CVE-2018-0171) tồn tại là do việc xác thực không hợp lệ của dữ liệu gói trong Smart Install Client – một cấu hình plug-and-play với tính năng quản lý hình ảnh giúp các quản trị viên triển khai thiết bị chuyển mạch mạng (client) một cách dễ dàng.

Embedi đã công bố chi tiết kỹ thuật và mã PoC sau khi Cisco công bố cập nhật bản vá để khắc phục lỗ hổng triển khai mã từ xa mà được chấm 9.8 điểm CVSS.

Các nhà nghiên cứu đã tìm thấy tổng cộng 8,5 triệu thiết bị với cổng mở trên Internet. Điều đó đồng nghĩa với việc hacker có thể dễ dàng tấn công khoảng 250.000 thiết bị chưa được vá lỗi.

Để khai thác lỗ hổng này, kẻ tấn công cần tạo ra một thông báo Cài đặt Thông minh (Smart Install) và gửi tới một thiết bị bị ảnh hưởng thông qua cổng TCP 4786 được mở theo mặc định.

Cisco giải thích trong cảnh bảo của hãng: “Chính xác hơn, lỗi tràn bộ nhớ đệm xảy ra trong hàm smi_ibc_handle_ibd_init_discovery_msg” và “vì kích thước của dữ liệu được sao chép vào bộ nhớ đệm có kích thước cố định không được kiểm tra nên kích thước và dữ liệu được lấy trực tiếp từ gói tin mạng và được kiểm soát bởi kẻ tấn công “.

Lỗ hổng cũng có thể dẫn đến tình trạng từ chối dịch vụ (watchdog crash) bằng cách kích hoạt vòng lặp vô hạn trên các thiết bị bị ảnh hưởng.

Các nhà nghiên cứu đã chứng minh lỗ hổng ở một cuộc hội thảo tại Hồng Kông sau khi báo cáo nó cho Cisco vào tháng 5 năm 2017.

Video tái hiện cuộc tấn công:

Trong cuộc tái hiện đầu tiên của họ, thể hiện trong video dưới đây, các nhà nghiên cứu đã nhắm tới thiết bị chuyển mạch Cisco Catalyst 2960 để reset/thay đổi mật khẩu và nhập vào chế độ EXEC đặc quyền:

Trong bản demo thứ hai, các nhà nghiên cứu khai thác lỗ hổng này để ngăn chặn thành công lưu lượng truy cập giữa các thiết bị khác kết nối với bộ chuyển mạch và Internet.

Phần cứng và phần mềm bị ảnh hưởng:

Lỗ hổng đã được thử nghiệm trên Bộ công cụ Giám sát Catalyst 4500, Bộ chuyển mạch Cisco Catalyst 3850 Series và Thiết bị Chuyển mạch Cisco Catalyst 2960 Series cũng như tất cả các thiết bị rơi vào loại Smart Install Client có khả năng bị tấn công, bao gồm:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Cisco đã xác định lỗ hổng trong tất cả các sản phẩm bị ảnh hưởng của hãng vào ngày 28 tháng 3 năm 2018 và Embedi đã công bố một bài đăng blog mô tả lỗ hổng vào ngày 29 tháng 3. Vì vậy, các quản trị viên được gợi ý nên cài đặt bản cập nhật phần mềm miễn phí để giải quyết vấn đề càng sớm càng tốt.

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <