Уязвимости в Cisco SMI по-прежнему открывают доступ к сетевым коммутаторам

Уязвимости в протоколе Cisco Smart Install (SMI) по-прежнему позволяют злоумышленникам удаленно подключиться к сетевым коммутаторам, похитить конфиденциальные данные и получить полный контроль над целевым устройством. С момента выхода в 2010 году в протоколе было найдено множество опасных уязвимостей и, несмотря на выпускаемые Cisco патчи, количество уязвимых устройств практически не изменилось, показало исследование компании по безопасности Rapid7. Протокол SMI предназначен для настройки и управления коммутаторами Cisco и использует комбинацию DHCP, TFTP и протокола TCP. С момента выхода было обнаружено несколько уязвимостей в SMI, включая CVE-2011-3271, позволявшую удаленно выполнить код, а также CVE-2012-0385, CVE-2013-1146, CVE-2016-1349 и CVE-2016-6385, предоставлявшие возможность провести DDoS-атаку. В 2016 году исследователи обнаружили ряд новых проблем безопасности в SMI. Эксперты из Tenable, Trustwave SpiderLabs и Digital Security в рамках конференции по безопасности Zeronights обнародовали информацию о ряде уязвимостей в SMI, позволявших скомпрометировать устройство. Уязвимости в SMI могут позволить злоумышленнику получить полный контроль над целевым коммутатором, отметил старший исследователь безопасности Rapid7 Джон Харт (Jon Hart). Злоумышленники также могут получить доступ к конфиденциальным данным, таким как имена пользователей, пароли, хэши, настройки межсетевого экрана и пр. Более того, уязвимости в SMI могут позволить злоумышленнику скомпрометировать целевое устройство и загрузить произвольный код, после чего изменять, перенаправлять или перехватывать трафик. По утверждению Cisco, данные проблемы являются не уязвимостями, а скорее, «неправильным использованием протокола». Тем не менее, компания все равно порекомендовала клиентам по возможности отключать SMI. Наибольшее количество уязвимых устройств зафиксировано в США (26,3%), России (7%) и Японии (6,9%).