១.សេចក្តីផ្តើម
កាលពីថ្ងៃទី០៨ ខែមេសា ឆ្នាំ២០១៨ មានការរាយការណ៍អំពីការកើនឡើងនូវការវាយប្រហារទៅលើឧបករណ៍របស់ក្រុមហ៊ុន Cisco ដែលបណ្តាលឲ្យបណ្តាញណេតវើកគាំងមិនដំណើរការនៅក្នុងបណ្តាប្រទេសមួយចំនួនរួមមាន សហរដ្ឋអាមេរិក រុស្សី និងអ៊ីរ៉ង់។ ការវាយប្រហារនេះធ្វើទៅបានដោយការវាយលុកទៅលើចំណុចខ្សោយ ដែលមានលេខសំគាល់ CVE-2018-0171 នៃ Cisco Smart Install ដែលត្រូវបានគេវាយតំលៃដាក់ចំណាត់ថ្នាក់លេខ 9.8 លើ 10 (ធ្ងន់ធ្ងរបំផុត)។
អ្នកវាយប្រហារពីចម្ងាយអាចវាយលុកទៅលើចំណុចខ្សោយនេះដោយការបញ្ជូននូវកូដបញ្ជាទៅកាន់ឧបករណ៍ (មិនបានជួសជុលកំហុសឆ្គង) តាមរយៈ TCP port 4786។បន្ទាប់មកវានឹងដំណើរការក្នុងលក្ខណៈ denial of service (Dos) ឬក៏ដំណើរការនូវកូដនៅលើឧបករណ៍នោះ។
មុខងារ Cisco Smart Install ផ្តល់នូវការដាក់ឲ្យដំណើរការ (zero-touch) សម្រាប់ឧបករណ៍ថ្មី ដែលស្រដៀងនឹងមុខងារ “plug-and-play”។ វាអាចអនុញ្ញាតឲ្យអតិថិជនដាក់ឧបករណ៍នោះទៅក្នុងទីតាំងណាមួយក៏បាន ហើយធ្វើការតម្លើងវាទៅក្នុងបណ្តាញសម្រាប់ការប្រើប្រាស់ភ្លាមដោយមិនចាំបាច់ធ្វើការ configure អ្វីបន្ថែមឡើយ។
២.ផលិតផលដែលរងផលប៉ៈពាល់
ឧបករណ៍ណេតវើករបស់ក្រុមហ៊ុន Cisco ដែលដំណើរការនូវប្រព័ន្ធប្រតិបត្តិការមានចំនុចខ្សោយនៃ Cisco IOS ឬ IOS XE software ដែលមានមុខងារ Smart Install ដំណើរការ។
៣.ផលប៉ៈពាល់
អ្នកវាយប្រហារដែលបានវាយលុកដោយជោគជ័យទៅលើចំនុចខ្សោយនោះ អាចមានលទ្ធភាពក្នុងការដំណើរការកូដពីចម្ងាយ (remotely execute) ដោយមិនចាំបាច់ត្រូវការសិទ្ធិអនុញ្ញាត (authentication) ដែលអាចឲ្យមានការគ្រប់គ្រងពេញលេញទៅលើឧបករណ៍នោះ។ នៅក្នុងករណីជាច្រើន វាអាចឲ្យមានការគាំងបណ្តាញ ស្រដៀងទៅនឹង denial-of-service ហើយក៏អាចធ្វើការកែប្រែនូវការកំណត់ configuration ផងដែរ។
៤.ការណែនាំ
អ្នកត្រួតពិនិត្យត្រាហ្វិកណេតវើកគួរតែធ្វើការពិនិត្យទៅលើការកើនឡើងនូវការស្កេនលើ TCP port 4786 ដោយ “Cisco Smart Install” ប្រើប្រាស់ទៅលើ port
មួយនេះ ។
សម្រាប់អភិបាលគ្រប់គ្រងណេតវើកគួរតែ
– ធ្វើការពិនិត្យទៅលើសេចក្តីណែនាំរបស់ក្រុមហ៊ុន Cisco ហើយធ្វើការអាប់ដេតទៅលើឧបករណ៍ដែលរងផលប៉ៈពាល់
– ប្រើប្រាស់ Cisco IOS Software Checker ដើម្បីធ្វើការផ្ទៀងផ្ទាត់ថាតើ IOS និង IOS XE Software ដែលអ្នកកំពុងប្រើប្រាស់មានផលប៉:ពាល់ឬទេ
– បិទមុខងារ “Cisco Smart Install” បើសិនជាមិនត្រូវការ ដោយប្រើប្រាស់ពាក្យបញ្ជា “no vstack” ។
– ធ្វើការផ្ទៀងផ្ទាត់ម្តងទៀតដោយប្រើប្រាស់ពាក្យបញ្ជា “show vstack status [detail]” និង “show vstack download-status [detail]” ។ ពេលនោះ អ្នកនឹងឃើញ “Smart Install: DISABLED”
៥. វេបសាយពាក់ព័ន្ធ
– https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
– https://embedi.com/blog/cisco-smart-install-remote-code-execution/
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.
