Hơn 1.000 router Cisco tại Việt Nam dính lỗ bảo mật nghiêm trọng (10/04/2018)

Trong tuần 13, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã cảnh báo về nhóm 40 điểm yếu an toàn thông tin (lỗ hổng) trên nhiều thiết bị của Cisco, trong đó có lỗ hổng với mã lỗi quốc tế CVE-2018-0171 tồn tại trong chức năng Smart Install của hệ điều hành Cisco IOS - đây là một chức năng quản lý cài đặt, triển khai thiết bị và thường được bật mặc định.

Đối tượng tấn công khai thác lỗ hổng bằng cách gửi một thông điệp giả mạo Smart Instal đến cổng TCP 4786 của thiết bị. Việc khai thác thành công cho phép đối tượng tấn công và khởi động một tiến trình để nạp lại thiết bị, thực thi mã lệnh từ xa hoặc thực hiện một vòng lặp vô hạn trên thiết bị dẫn đến tình trạng từ chối dịch vụ.

Ngày 28/3/2018, Cisco đã xác nhận thông tin về lỗ hổng này trên các thiết bị router/switch của mình. Các chuyên gia an toàn thông tin của Cisco cho biết, đối tượng tấn công đã lợi dụng lỗ hổng CVE-2018-0171 để thực hiện nhiều cuộc tấn công mạng trên thế giới.

Qua công tác giám sát, theo dõi, thu thập thông tin và phân tích kỹ thuật ban đầu, Cục An toàn thông tin nhận thấy có hơn 1.000 thiết bị tại Việt Nam bị ảnh hưởng, và Việt Nam cũng là một trong những nước có dải IP bị dò quét lỗ hổng này nhiều nhất. Đặc biệt các thiết bị này đều là những thiết bị sử dụng trong môi trường mạng lớn và các hệ thống lõi.

Hơn 1.000 router Cisco tại Việt Nam dính lỗ bảo mật nghiêm trọng - 2

Danh sách các thiết bị Cisco có thể bị ảnh hưởng bởi lỗ hổng CVE-2018-0171.

Nhằm bảo đảm an toàn thông tin và phòng tránh nguy cơ bị tấn công mạng, Cục An toàn thông tin khuyến nghị quản trị viên tại các cơ quan, tổ chức: Kiểm tra, rà soát các thiết bị mạng có thể bị ảnh hưởng theo hướng dẫn đặc biệt các thiết bị trong danh sách và khắc phục lỗ hổng theo hướng dẫn.

Cách kiểm tra lỗ hổng CVE-2018-0171

- Cách 1: Sử dụng công cụ Cisco công bố tại https://github.com/Cisco-Talos/smi_check.

- Cách 2: Chạy lệnh  show vstack configtrên thiết bị Cisco, nếu hiển thị nội dung như bên dưới thì thiết bị có sử dụng Smart Intstall Client.

switch#show vstack config | inc Role

Role: Client (SmartInstall enabled)

Cách khắc phục lỗ hổng

- Cách 1: Cập nhật và nâng cấp hệ điều hành cho thiết bị theo hướng dẫn của Cisco. Tham khảothông tin về lỗ hổng và hướng dẫn của Cisco tại https://goo.gl/tbYqPu.

- Cách 2: Trong trường hợp không nhất thiết phải sử dụng chức năng Smart Instal, quản trị viên có thể chạy lệnh no vstack trên thiết bị bị ảnh hưởng để tắt tính năng này.

- Cách 3: Chặn cổng 4786 sử dụng Access List theo hướng dẫn bên dưới nếu không sử dụng đến tính năng của cổng này.

ip access-list extended SMI_HARDENING_LIST

permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786

deny tcp any any eq 4786

permit ip any any

Theo Ngọc Phạm (Dân Việt

TRUNG TÂM CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

Chịu trách nhiệm chính: Ông Võ Nguyễn Hoàng Nam - Giám đốc Trung tâm - Trưởng ban biên tập website

Địa chỉ : 08 Lý Thái Tổ - Thành phố Buôn Ma Thuột - tỉnh Đăk Lăk, Điện thoại: +84-262-8593838, Fax: +84-262-8593838, Email: ttcntttt@tttt.daklak.gov.vn