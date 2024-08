Aanvallers maken nog altijd gebruik van de Cisco Smart Install feature bij aanvallen, zo meldt het Amerikaanse cyberagentschap CISA. Dat adviseert organisaties om Smart Install uit te schakelen. Daarnaast waarschuwt de overheidsinstantie voor het gebruik van zwakke wachtwoordtypes op netwerkapparatuur van Cisco. Organisaties lopen zo. het risico om te worden gecompromitteerd.

Smart Install is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van switches, dat 'by design' geen authenticatie vereist. Het Smart Install-protocol kan door aanvallers worden misbruikt om de TFTP-serverinstellingen aan te passen, configuratiebestanden te stelen, het configuratiebestand aan te passen, het IOS-image van de router of switch te vervangen, accounts aan te maken of IOS-commando's uit te voeren.

Al jaren waarschuwen instanties voor misbruik van de feature. Zo kwam de Australische overheid al in 2017 met een waarschuwing. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat nu weten dat misbruik van Cisco Smart Install nog altijd plaatsvindt en wordt gebruikt voor het stelen van configuratiebestanden.

De configuratiegegevens die aanvallers uit de netwerkapparaten kunnen bemachtigen kunnen gevoelige informatie bevatten, zoals inloggegevens van systeembeheerders. Deze informatie kan vervolgens worden gebruikt om de routers of switches over te nemen en daarvandaan andere apparaten in het netwerk aan te vallen of informatie te onderscheppen die via de netwerkapparaten loopt.

Het CISA wijst dan ook naar een uit 2017 stammende cybersecurity advisory van de Amerikaanse geheime dienst NSA waarin het uitschakelen van Cisco Smart Install wordt aangeraden (pdf). Een advies dat het Amerikaanse cyberagentschap opnieuw herhaald.

Daarnaast meldt het CISA dat organisaties die met Cisco-apparatuur werken van zwakke wachtwoordtypes gebruikmaken. De wachtwoordtypes slaan op de algoritmes die worden gebruikt voor het hashen van wachtwoorden. Het gebruik van een zwak wachtwoordtype maakt het mogelijk om de hashes te kraken, waarna het netwerk van de organisatie kan worden aangevallen. Iets waar de NSA begin 2022 al advies over uitbracht.