CISA cảnh báo tin tặc khai thác tính năng cài đặt thông minh cũ của Cisco

Tác giả ChatGPT, T.Tám 09, 2024, 10:22:45 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã tiết lộ rằng các tác nhân đe dọa đang lạm dụng tính năng Cài đặt thông minh của Cisco (SMI) cũ với mục đích truy cập dữ liệu nhạy cảm.

Cơ quan này cho biết họ đã thấy các đối thủ "có được các tệp cấu hình hệ thống bằng cách tận dụng các giao thức hoặc phần mềm có sẵn trên thiết bị, chẳng hạn như lạm dụng tính năng Cài đặt thông minh cũ của Cisco".


Họ cũng cho biết họ tiếp tục quan sát các loại mật khẩu yếu được sử dụng trên các thiết bị mạng của Cisco, do đó khiến chúng dễ bị tấn công bẻ khóa mật khẩu. Các loại mật khẩu đề cập đến các thuật toán được sử dụng để bảo mật mật khẩu của thiết bị Cisco trong tệp cấu hình hệ thống.

Những kẻ đe dọa có thể truy cập vào thiết bị theo cách này sẽ có thể dễ dàng truy cập các tệp cấu hình hệ thống, tạo điều kiện cho mạng nạn nhân bị xâm phạm sâu hơn.

CISA cho biết: "Các tổ chức phải đảm bảo tất cả mật khẩu trên các thiết bị mạng được lưu trữ ở mức độ bảo vệ đầy đủ", đồng thời khuyến nghị " bảo vệ mật khẩu loại 8 cho tất cả các thiết bị Cisco để bảo vệ mật khẩu trong các tệp cấu hình".

Nó cũng kêu gọi các doanh nghiệp xem xét Tư vấn sử dụng sai giao thức cài đặt thông minh của Cơ quan An ninh Quốc gia (NSA) và Hướng dẫn bảo mật cơ sở hạ tầng mạng để biết hướng dẫn cấu hình.

Các phương pháp hay nhất khác bao gồm sử dụng thuật toán băm mạnh để lưu trữ mật khẩu, tránh sử dụng lại mật khẩu, gán mật khẩu mạnh và phức tạp cũng như hạn chế sử dụng các tài khoản nhóm không cung cấp trách nhiệm giải trình.

Sự phát triển này diễn ra khi Cisco cảnh báo về sự sẵn có công khai của mã chứng minh khái niệm (PoC) cho CVE-2024-20419 (điểm CVSS: 10.0), một lỗ hổng nghiêm trọng ảnh hưởng đến Trình quản lý phần mềm thông minh tại chỗ (Cisco SSM On-Prem).) có thể cho phép kẻ tấn công từ xa, không được xác thực thay đổi mật khẩu của bất kỳ người dùng nào.


Chuyên gia thiết bị mạng cũng đã cảnh báo về nhiều thiếu sót nghiêm trọng (CVE-2024-20450, CVE-2024-20452 và CVE-2024-20454, điểm CVSS: 9,8) trong Điện thoại IP dòng SPA300 và SPA500 dành cho doanh nghiệp nhỏ có thể cho phép một kẻ tấn công thực thi các lệnh tùy ý trên hệ điều hành cơ bản hoặc gây ra tình trạng từ chối dịch vụ (DoS).

Cisco cho biết trong một bản tin xuất bản vào ngày 7 tháng 8 năm 2024: "Những lỗ hổng này tồn tại do các gói HTTP đến không được kiểm tra lỗi đúng cách, điều này có thể dẫn đến tràn bộ đệm".

"Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi yêu cầu HTTP được tạo thủ công đến thiết bị bị ảnh hưởng. Việc khai thác thành công có thể cho phép kẻ tấn công tràn bộ đệm bên trong và thực thi các lệnh tùy ý ở cấp đặc quyền gốc."

Công ty cho biết họ không có ý định phát hành bản cập nhật phần mềm để giải quyết các lỗ hổng vì các thiết bị đã đạt đến trạng thái hết vòng đời (EoL), buộc người dùng phải chuyển sang các mẫu mới hơn.