Một nhóm hacker mới tự gọi mình là “JHT”, đã chiếm đoạt một số lượng lớn các thiết bị chuyển mạch mạng Cisco thuộc các tổ chức ở Nga và Iran và để lại một thông điệp rằng: “Đừng gây lộn xộn với cuộc bầu cử của chúng tôi” cùng với một lá cờ Mỹ (trong nghệ thuật ASCII).

Tin tặc tấn công thiết bị chuyển mạch mạng Cisco ở Nga và Iran
Thông điệp của nhóm Hacker “JHT”

MJ Azari Jahromi – bộ trưởng Công nghệ thông tin và Truyền thông Iran, cho biết chiến dịch này đã tác động đến khoảng 3.500 thiết bị chuyển mạch mạng Cisco ở Iran, mặc dù phần lớn trong số đó đã được khôi phục.

Nhóm hacker được cho là nhắm mục tiêu vào các cài đặt dễ bị tổn thương của Cisco Smart Install Client –  một tiện ích plug-and-play cũ được thiết kế để giúp các quản trị viên định cấu hình và triển khai các thiết bị Cisco từ xa. Cisco Smart Install Client được kích hoạt mặc định trên các thiết bị chuyển mạch Cisco IOS/IOS XE và chạy qua cổng TCP 4786.

Một số nhà nghiên cứu tin rằng cuộc tấn công này liên quan đến lỗ hổng thực thi mã từ xa (CVE-2018-0171) gần đây trong Cisco Smart Install Client. Nó có thể cho phép kẻ tấn công kiểm soát toàn bộ thiết bị mạng.

Tuy nhiên, từ việc tin tặc reset các thiết bị mục tiêu để làm cho chúng không thể hoạt động, Cisco tin rằng tin tặc đã chỉ lạm dụng giao thức Smart Install để ghi đè lên cấu hình thiết bị thay vì khai thác lỗ hổng.

Công ty giải thích: “Giao thức Smart Install của Cisco có thể bị lạm dụng để sửa đổi thiết lập máy chủ TFTP, giải phóng tệp tin cấu hình thông qua TFTP, chỉnh sửa tệp cấu hình, thay thế ảnh IOS và thiết lập tài khoản, cho phép thực hiện các lệnh IOS”.

Công ty bảo mật Trung Quốc Qihoo 360 – Netlab cũng xác nhận rằng chiến dịch tấn công do nhóm JHT thực hiện không liên quan đến lỗ hổng triển khai mã được công bố gần đây; thay vào đó, cuộc tấn công xảy ra do thiếu sự xác thực rong giao thức cài đặt thông minh của Cisco mà đã được báo cáo hồi tháng 3 năm ngoái.

Tin tặc tấn công thiết bị chuyển mạch mạng Cisco ở Nga và Iran
Hơn 165.000 hệ thống tiếp xúc Internet đang chạy Cisco Smart Install Client qua cổng TCP 4786

Theo công cụ quét Internet Shodan, hơn 165.000 hệ thống tiếp xúc Internet đang chạy Cisco Smart Install Client qua cổng TCP 4786.

Vì Smart Install Client được thiết kế để cho phép quản lý từ xa trên các thiết bị chuyển mạch của Cisco nên các quản trị viên hệ thống cần phải kích hoạt nó nhưng nên hạn chế quyền truy cập của nó bằng cách sử dụng các danh sách kiểm soát truy cập (ACLs).

Các quản trị viên không sử dụng tính năng Smart Install nên vô hiệu hóa nó hoàn toàn bằng lệnh cấu hình “no vstack”.

Mặc dù các cuộc tấn công gần đây không liên quan gì đến CVE-2018-0171 nhưng các quản trị viên vẫn được khuyến khích nên cài đặt các bản vá để giải quyết những lỗ hổng. Với các chi tiết kỹ thuật và poC đã có sẵn trên Internet, tin tặc có thể dễ dàng khởi chạy cuộc tấn công tiếp theo thông qua những lỗ hổng trong thiết bị chuyển mạch mạng Cisco.

Bình luận