ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), son saldırılarda kötüye kullanıldığını gördükten sonra eski Cisco Smart Install (SMI) özelliğinin devre dışı bırakılmasını önerdi.
CISA, tehdit aktörlerinin bu taktiği kullandığını ve sistem yapılandırma dosyaları gibi hassas verileri çalmak için diğer protokolleri veya yazılımları kullandığını tespit etti ve bu durum, yöneticilere bu devam eden saldırıları engellemek için eski SMI protokolünü (Cisco Network Plug and Play çözümüyle değiştirildi) devre dışı bırakmaları yönünde bir uyarı gönderdi.
Ayrıca NSA’nın gözden geçirilmesini de önerdi Akıllı Kurulum Protokolü Kötüye Kullanım uyarısı Ve Ağ Altyapısı Güvenlik Kılavuzu daha fazla yapılandırma kılavuzu için.
Cisco Talos ekibi, 2018 yılında Cisco SMI protokolünün, Rusya destekli Dragonfly APT grubu (ayrıca Crouching Yeti ve Energetic Bear olarak da biliniyor) da dahil olmak üzere birden fazla bilgisayar korsanlığı grubuyla bağlantılı saldırılarda Cisco anahtarlarını hedef almak için kötüye kullanıldığı konusunda uyarıda bulunmuştu.
Saldırganlar, anahtar sahiplerinin protokolü yapılandırmaması veya devre dışı bırakmamasından yararlanarak SMI istemcisinin çalışır durumda kalmasını ve “kurulum/yapılandırma” komutlarını beklemesini sağladı.
Güvenlik açığı bulunan anahtarlar, tehdit aktörlerinin yapılandırma dosyalarını değiştirmesine, IOS sistem görüntüsünü değiştirmesine, sahte hesaplar eklemesine ve TFTP protokolü aracılığıyla bilgi sızdırmasına olanak sağladı.
Şubat 2017 ve Şubat 2018’de Cisco, müşterilerini kötü niyetli kişilerin İnternet’e açık SMI özellikli Cisco cihazlarını aktif olarak taradıkları konusunda uyardı.
Zayıf parola türlerinin kötüye kullanımı
CISA’nın saldırganların Cisco ağ cihazlarını tehlikeye atmak için zayıf parola türlerini kullandığını tespit etmesinin ardından, yöneticilere bugün daha iyi parola koruma önlemleri uygulamaları tavsiye edildi.
“Cisco parola türü, bir Cisco cihazının parolasını bir sistem yapılandırma dosyası içinde güvence altına almak için kullanılan algoritma türüdür. Zayıf parola türlerinin kullanımı, parola kırma saldırılarına olanak tanır,” diye ekledi kurum bugün.
“Erişim sağlandığında bir tehdit aktörü sistem yapılandırma dosyalarına kolayca erişebilir. Bu yapılandırma dosyalarına ve sistem parolalarına erişim, kötü niyetli siber aktörlerin kurban ağlarını tehlikeye atmasına olanak tanıyabilir. Kuruluşlar, ağ cihazlarındaki tüm parolaların yeterli düzeyde koruma kullanılarak saklandığından emin olmalıdır.”
CISA, tüm Cisco cihazları için NIST onaylı tip 8 parola korumasının kullanılmasını önerir. Bu, parolaların Parola Tabanlı Anahtar Türetme İşlevi sürüm 2 (PBKDF2), SHA-256 karma algoritması, 80 bitlik bir tuz ve 20.000 yineleme ile karma hale getirilmesini sağlar.
Cisco aygıtında Tip 8 ayrıcalık EXEC modu parolalarını etkinleştirme ve Tip 8 parolasıyla yerel bir kullanıcı hesabı oluşturma hakkında daha fazla bilgi NSA’nın Cisco Parola Türleri: En İyi Uygulamalar kılavuzu.
Siber güvenlik ajansı, yapılandırma dosyalarındaki yönetici hesaplarının ve parolalarının güvenliğini sağlamak için en iyi uygulamaların izlenmesini öneriyor.
Bunlara güçlü bir karma algoritması kullanarak parolaları düzgün bir şekilde depolamak, sistemler arasında parolaların yeniden kullanılmasından kaçınmak, güçlü ve karmaşık parolalar kullanmak ve hesap verebilirlik sağlamayan grup hesaplarının kullanımından kaçınmak dahildir.