E安全8月19日讯 澳大利亚网络安全中心(简称ACSC)发出警告称,攻击分子将目标瞄向思科路由器和交换机,攻击分子设法提取这些设备的配置文件。
警告写到,支持思科Smart Install的交换机可通过互联网访问,以及支持SNMP(简单网络管理协议)的路由器或交换机处于开启状态,并暴露在互联网上,易遭受网络攻击。
提取的配置文件可能包含敏感信息(例如设备管理凭证),可能被用来攻击路由器/交换机,使网络中的其它设备沦为攻击目标。访问路由器/交换机可能有助于恶意攻击者获取流经设备的数据。
思科曾在博文中写到,思科自二月以来就注意到攻击者可能在滥用思科IOS和IOS XE Software中的Smart Install(SMI)功能,攻击者当时在扫描易受攻击的网络。但思科当时淡化了问题,称SMI是“遗留功能”。思科写到,此功能专用于本地网络,不应暴露到不受信任的网络中。
思科 2月14日发布安全公告:指出Cisco IOS、IOS XE或Smart Install功能存在漏洞,属于Smart Install协议的行为。
思科建议采用较新的技术设置新的交换机,例如思科网络即插即用(Network Plug and Play)功能。
澳大利亚网络安全中心在公告中建议,如果能通过互联网直接管理设备,管理员应检查设备日志并报告异常活动。
澳大利亚网络安全中心建议采取以下步骤降低风险:
若非严格要求,建议禁用SNMP读/写功能,或者可考虑完全禁用SNMP。如果必须使用SNMP读/写功能,可确保SNMP服务无法连接到不受信任的来源;或升级到SNMPv3并修改所有SNMP Community String(如同用户ID或密码,允许访问路由器或其它设备的统计数据)。
采用访问控制列表(ACL)限制SNMP访问网络管理平台,在网络边缘配置反欺骗措施,从而丢弃自称来自网络管理平台的欺骗数据包。
若非严格要求,建议禁用思科Smart Install。
澳大利亚网络安全中心还提到思科的SMI安全配置建议(链接http://t.cn/RCy7diH )。
澳大利亚网络安全中心还建议所有组织机构遵循澳大利亚信号局(ASD)的《网络安全事件缓解策略》,此外还建议组织机构借鉴英国国家网络安全中心(NCSC)的通用指南。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/591200475.shtml
相关阅读:
▼点击“阅读原文” 下载E安全APP