Pada hari Kamis, Badan Keamanan Siber dan Infrastruktur AS (CISA) merekomendasikan penonaktifan fitur Cisco Smart Install (SMI) setelah melihatnya disalahgunakan dalam serangan baru-baru ini.
CISA telah menemukan pelaku ancaman yang menggunakan taktik ini dan memanfaatkan protokol atau perangkat lunak lain untuk mencuri data sensitif, seperti file konfigurasi sistem, yang mendorong peringatan yang menyarankan admin untuk menonaktifkan sistem lama. protokol SMI (digantikan oleh solusi Cisco Network Plug and Play) untuk memblokir serangan yang sedang berlangsung ini.
Ia juga merekomendasikan peninjauan ulang terhadap kebijakan NSA Saran Penyalahgunaan Protokol Instalasi Cerdas Dan Panduan Keamanan Infrastruktur Jaringan untuk panduan konfigurasi lebih lanjut.
Pada tahun 2018, tim Cisco Talos juga memperingatkan bahwa protokol Cisco SMI disalahgunakan untuk menargetkan switch Cisco dalam serangan yang terkait dengan beberapa kelompok peretasan, termasuk kelompok APT Dragonfly yang didukung Rusia (juga dilacak sebagai Crouching Yeti dan Energetic Bear).
Para penyerang memanfaatkan kegagalan pemilik switch untuk mengonfigurasi atau menonaktifkan protokol, yang membiarkan klien SMI tetap berjalan dan menunggu perintah “instalasi/konfigurasi”.
Sakelar yang rentan memungkinkan pelaku ancaman mengubah berkas konfigurasi, mengganti citra sistem IOS, menambahkan akun jahat, dan mencuri informasi melalui protokol TFTP.
Di dalam Februari 2017 Dan Februari 2018Cisco memperingatkan pelanggan bahwa pelaku jahat secara aktif memindai perangkat Cisco yang mendukung SMI dan terekspos Internet.
Penyalahgunaan jenis kata sandi yang lemah
Admin juga disarankan hari ini untuk menerapkan langkah-langkah perlindungan kata sandi yang lebih baik setelah CISA menemukan bahwa penyerang mengeksploitasi jenis kata sandi yang lemah untuk membahayakan perangkat jaringan Cisco.
“Tipe kata sandi Cisco adalah tipe algoritma yang digunakan untuk mengamankan kata sandi perangkat Cisco dalam file konfigurasi sistem. Penggunaan tipe kata sandi yang lemah memungkinkan serangan pembobolan kata sandi,” Badan tersebut menambahkan hari ini.
“Begitu akses didapatkan, pelaku ancaman akan dapat mengakses berkas konfigurasi sistem dengan mudah. Akses ke berkas konfigurasi dan kata sandi sistem ini dapat memungkinkan pelaku kejahatan siber untuk membahayakan jaringan korban. Organisasi harus memastikan semua kata sandi pada perangkat jaringan disimpan menggunakan tingkat perlindungan yang memadai.”
CISA merekomendasikan penggunaan proteksi kata sandi tipe 8 yang disetujui NIST untuk semua perangkat Cisco. Hal ini memastikan kata sandi di-hash dengan Password-Based Key Derivation Function versi 2 (PBKDF2), algoritma hashing SHA-256, salt 80-bit, dan 20.000 iterasi.
Informasi lebih lanjut tentang mengaktifkan kata sandi mode EXEC hak istimewa Tipe 8 dan membuat akun pengguna lokal dengan kata sandi Tipe 8 pada perangkat Cisco tersedia di NSA Jenis Kata Sandi Cisco: Panduan Praktik Terbaik.
Badan keamanan siber merekomendasikan praktik terbaik berikut untuk mengamankan akun administrator dan kata sandi dalam berkas konfigurasi.
Ini termasuk menyimpan kata sandi dengan benar menggunakan algoritma hashing yang kuat, menghindari penggunaan kata sandi yang sama di seluruh sistem, menggunakan kata sandi yang kuat dan rumit, dan menghindari penggunaan akun grup yang tidak memberikan akuntabilitas.
