Firma Cisco poinformowała, że niewłaściwa konfiguracja przełączników tej firmy, polegająca na pozostawieniu dostępnej usługi Smart Install Client (SMI), przyczyniła się do szeregu incydentów bezpieczeństwa. Część z nich dotyczyła infrastruktury krytycznej i mogła być powiązana z atakami prowadzonymi przez organizacje sponsorowane przez państwa, przed którymi ostrzegał w marcu US-CERT.
Protokół SMI był wykorzystywany do uproszczenia instalacji przełączników i obecnie jest zastępowany przez Cisco Network Plug and Play. Pomimo to, często pozostaje włączony na przełącznikach i oczekuje komend konfiguracyjnych. Dzięki temu można:
- zmienić ustawienia serwera TFTP
- zmienić plik konfiguracyjny
- podmienić obraz systemu
- założyć konta użytkowników.
Cisco opublikowało zalecenia w lutym 2017 roku. Wydany został prosty skrypt do sprawdzenia urządzeń, dostępny pod adresem https://github.com/Cisco-Talos/smi_check . Administratorzy mogą sprawdzić, czy protokół jest włączony komendą:
#show vstack config | inc Role
Zalecane jest wyłączenie protokołu komendą no vstack lub konfigurację list ACL w taki sposób, aby ograniczyć dostęp do portu:
ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any
Więcej informacji: http://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny