linhnhd
VIP Members
-
30/12/2014
-
14
-
32 bài viết
Khắc phục lỗ hổng Zero-Day trên thiết bị mạng Cisco
Cluster Management Protocol là giao thức để trao đổi thông tin giữa các thiết bị chạy cluster với nhau, bằng việc sự dụng Telnet hoặc SSH.
Hacker sẽ lợi dụng việc gửi các tùy chọn telnet CMP không đúng định dạng để thiết lập các phiên Telnet với các thiết bị Cisco từ đó thực thi mã độc và thực hiện chiếm quyền điều khiển thiết bị.
Hiện tại lỗ hổng này chưa được Cisco khắc phục và khuyến cáo người dùng sử dụng SSH thay vì sử dụng Telnet.
--> Thực ra không phải chỉ vì lỗ hổng này, tôi vẫn khuyên các Admin nên sử dụng SSH thay vì Telnet đơn giản vì dữ liệu Telnet không hề được mã hóa mà ở dạng clear-text ,Hacker hoàn toàn có thể bắt được bằng việc sử dụng các công cụ đơn giản.
1) Cách kiểm tra trên thiết bị có hỗ trợ CMP, bật Telnet không.
*) Lỗ hổng trên chỉ phát sinh khi hội tụ đủ hai yêu tố:
- Đới với thiết thiêt bị không hỗ trợ giao thực CMP thì sẽ không xuất hiện dòng:
- Kiểm tra xem thiết bị có sử dụng telnet hay không.
- Bời mặc định khi cấu hình vty thì telnet sẽ được bật.
2) Cách khắc phục.
- Khi đã xác định được thiết bị có hỗ trợ CMP ta cần kiểm tra xem thiết bị đó có sử dụng telnet không, nếu có sẽ thực hiện cấu hình chuyển sang SSH như theo hướng dẫn: https://whitehat.vn/threads/telnet-ssh-secure.8189/
- Đối với các thiết bị không hỗ trợ SSH, cần giới hạn danh sách các IP được phép sử dụng Telnet cụ thể là chỉ mở cho các IP của quản trị viên.
- Kịp thời kiểm tra Update định kỳ phiên bản IOS mới nhất để khắc phục lỗi bảo mật.
Hacker sẽ lợi dụng việc gửi các tùy chọn telnet CMP không đúng định dạng để thiết lập các phiên Telnet với các thiết bị Cisco từ đó thực thi mã độc và thực hiện chiếm quyền điều khiển thiết bị.
Hiện tại lỗ hổng này chưa được Cisco khắc phục và khuyến cáo người dùng sử dụng SSH thay vì sử dụng Telnet.
--> Thực ra không phải chỉ vì lỗ hổng này, tôi vẫn khuyên các Admin nên sử dụng SSH thay vì Telnet đơn giản vì dữ liệu Telnet không hề được mã hóa mà ở dạng clear-text ,Hacker hoàn toàn có thể bắt được bằng việc sử dụng các công cụ đơn giản.
1) Cách kiểm tra trên thiết bị có hỗ trợ CMP, bật Telnet không.
*) Lỗ hổng trên chỉ phát sinh khi hội tụ đủ hai yêu tố:
+ Thiết bị có hỗ trợ giao thức CMP.
+ Có cấu hình Telnet.
- Để thực hiện kiểm tra xem thiết bị có hỗ trợ giao thức CMP không ta thực hiện lệnh sau:+ Có cấu hình Telnet.
Mã:
SW#show subsys class protocol | include cmp
cmp Protocol 1.000.001
Mã:
cmp Protocol 1.000.001
Mã:
SW# show running-config | begin line vty
line vty 0 4
password ******
login2) Cách khắc phục.
- Khi đã xác định được thiết bị có hỗ trợ CMP ta cần kiểm tra xem thiết bị đó có sử dụng telnet không, nếu có sẽ thực hiện cấu hình chuyển sang SSH như theo hướng dẫn: https://whitehat.vn/threads/telnet-ssh-secure.8189/
- Đối với các thiết bị không hỗ trợ SSH, cần giới hạn danh sách các IP được phép sử dụng Telnet cụ thể là chỉ mở cho các IP của quản trị viên.
- Kịp thời kiểm tra Update định kỳ phiên bản IOS mới nhất để khắc phục lỗi bảo mật.