Cảnh báo: Phát hiện hơn 1000 thiết bị router và switch của Cisco ở Việt Nam dính lỗi bảo mật nghiêm trọng
Có hơn 1000 thiết bị router và switch của Cisco ở Việt Nam (đều là những thiết bị sử dụng trong môi trường mạng lớn và các hệ thống lõi) bị dính lỗi bảo mật nghiêm trọng.
Cục An toàn thông tin (Bộ TT&TT) vừa gửi công văn cảnh báo về nhóm 40 điểm yếu an toàn thông tin nghiêm trọng trên các thiết bị router (định tuyến) và switch (chuyển mạch) của Cisco. Đặc biệt, trong hệ điều hành Cisco IOS có lỗ hổng với mã lỗi quốc tế CVE-2018-0171 tồn tại trong chức năng Smart Install, một chức năng sử dụng để quản lý cài đặt, triển khai thiết bị và thường được bật mặc định.
Kẻ xấu lợi dụng lỗ hổng này để gửi một thông điệp giả mạo Smart Install đến cổng TCP 4786 của thiết bị. Nếu thành công, một tiến trình sẽ được khởi động để nạp lại thiết bị, thực thi mã lệnh từ xa hoặc thực hiện một vòng lặp vô hạn trên thiết bị dẫn đến tình trạng từ chối dịch vụ.
Trước đó, Cisco đã xác nhận thông tin về lỗ hổng này trên các thiết bị router/switch của mình vào ngày 28/3/2018. Từ đó cho đến nay, lỗ hổng CVE-2018-0171 đã bị kẻ xấu lợi dụng thực hiện nhiều cuộc tấn cộng mạng trên khắp thế giới.
Theo Cục ATTT, tại Việt Nam có hơn 1000 thiết bị bị ảnh hưởng và là nước có dải IP bị dò quét lỗ hổng này nhiều nhất. Vì vậy, người dùng cần hết sức cảnh giác.
Danh sách các thiết bị mạng Cisco bị ảnh hưởng bởi lỗ hổng:
Nhằm bảo đảm an toàn thông tin và phòng tránh nguy cơ bị tấn công mạng, quản trị viên tại các cơ quan, tổ chức kiểm tra, rà soát các thiết bị mạng có thể bị ảnh hưởng và khắc phục lỗ hổng.
Cách kiểm tra lỗ hổng CVE-2018-0171
Để kiểm tra lỗ hổng CVE-2018-0171, quản trị viên có thể thực hiện theo một trong các cách sau:
Cách 1: Sử dụng công cụ do Cisco công bố tại link sau: https://github.com/Cisco-Talos/smi_check
Cách 2: Chạy lệnh show vstack config trên thiết bị Cisco. Nếu thiết bị có sử dụng Smart Intstall Client thì sẽ xuất hiện nội dung như bên dưới:
switch#show vstack config | inc Role
Role: Client (SmartInstall enabled)
Cách khắc phục lỗ hổng bảo mật trên router và switch của Cisco
Cách 1: Cập nhật và nâng cấp hệ điều hành cho router và switch theo hướng dẫn của Cisco tại địa chỉ sau:
Cách 2: Chạy lệnh no vstack trên thiết bị bị ảnh hưởng để tắt tính năng Smart Instal nếu không cần thiết sử dụng.
Cách 3: Nếu không sử dụng Access List thì có thể chặn công 4786.
Để biết thêm thông tin phân tích kĩ thuật chi tiết lỗ hổng và PoC, các bạn có thể truy cập vào link dưới đây.