Ataque contra dispositivos Cisco
9 de Agosto de 2024

A Agência de Segurança da Infraestrutura e Cibersegurança dos EUA (CISA) revelou que atores de ameaças estão abusando do recurso legado Cisco Smart Install (SMI) com o objetivo de acessar dados sensíveis.

A agência informou que tem visto adversários "obter arquivos de configuração do sistema aproveitando protocolos ou software disponíveis em dispositivos, como abusar do recurso legado Cisco Smart Install."

Também foi mencionado que continua observando o uso de tipos de senha fracos em dispositivos de rede da Cisco, expondo-os a ataques de cracking de senha.

Tipos de senha referem-se a algoritmos usados para proteger a senha de um dispositivo Cisco dentro de um arquivo de configuração do sistema.

Atores de ameaças que conseguem acessar o dispositivo desta maneira poderão facilmente acessar arquivos de configuração do sistema, facilitando um comprometimento mais profundo das redes vítimas.

As organizações devem garantir que todas as senhas nos dispositivos de rede estejam armazenadas usando um nível suficiente de proteção," disse a CISA, acrescentando que recomenda "proteção de senha do tipo 8 para todos os dispositivos Cisco para proteger senhas dentro dos arquivos de configuração.

Também está instando as empresas a reverem o aviso de Uso Incorreto do Protocolo Smart Install da Agência de Segurança Nacional (NSA) e o Guia de Segurança da Infraestrutura de Rede para orientação de configuração.

As melhores práticas adicionais incluem o uso de um algoritmo de hashing forte para armazenar senhas, evitar reutilização de senhas, atribuir senhas fortes e complexas, e abster-se de usar contas de grupo que não oferecem responsabilização.

Este desenvolvimento ocorre enquanto a Cisco alertou sobre a disponibilidade pública de um código de prova de conceito (PoC) para o CVE-2024-20419 (pontuação CVSS: 10.0), uma falha crítica impactando o Smart Software Manager On-Prem (Cisco SSM On-Prem) que poderia permitir a um atacante remoto e não autenticado mudar a senha de qualquer usuário.

O principal fornecedor de equipamentos de rede também alertou sobre várias falhas críticas ( CVE-2024-20450 , CVE-2024-20452 e CVE-2024-20454 , pontuações CVSS: 9.8) nas Séries SPA300 e SPA500 de Telefones IP para Pequenos Negócios que poderiam permitir a um atacante executar comandos arbitrários no sistema operacional subjacente ou causar uma condição de negação de serviço (DoS).

"Essas vulnerabilidades existem porque os pacotes HTTP de entrada não são devidamente verificados quanto a erros, o que poderia resultar em um estouro de buffer," disse a Cisco em um boletim publicado em 7 de agosto de 2024.

Um atacante poderia explorar essa vulnerabilidade enviando uma solicitação HTTP elaborada para um dispositivo afetado.

Uma exploração bem-sucedida poderia permitir ao atacante estourar um buffer interno e executar comandos arbitrários no nível de privilégio root.

A empresa disse que não pretende liberar atualizações de software para corrigir as falhas, já que os aparelhos alcançaram o status de fim de vida (EoL), necessitando que os usuários transacionem para modelos mais novos.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...