Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft bekendgemaakt dat cybercriminelen misbruik maken van de verouderde functie Cisco Smart Install (SMI) om toegang te krijgen tot gevoelige gegevens.
Volgens het agentschap hebben kwaadwillenden “systeemconfiguratiebestanden verkregen door gebruik te maken van beschikbare protocollen of software op apparaten, bijvoorbeeld door misbruik te maken van de verouderde functie Cisco Smart Install.”
Het zei ook dat het zwakke wachtwoordtypen blijft observeren die worden gebruikt op Cisco-netwerkapparaten, waardoor ze worden blootgesteld aan wachtwoordkrakende aanvallen. Wachtwoordtypen verwijzen naar algoritmen die worden gebruikt om het wachtwoord van een Cisco-apparaat te beveiligen in een systeemconfiguratiebestand.
Kwaadwillenden die op deze manier toegang tot het apparaat krijgen, kunnen eenvoudig toegang krijgen tot de configuratiebestanden van het systeem, waardoor ze de netwerken van het slachtoffer verder kunnen aantasten.
“Organisaties moeten ervoor zorgen dat alle wachtwoorden op netwerkapparaten worden opgeslagen met een voldoende hoog beveiligingsniveau”, aldus CISA, dat “wachtwoordbeveiliging type 8 voor alle Cisco-apparaten aanbeveelt om wachtwoorden in configuratiebestanden te beschermen”.
Bedrijven worden ook dringend verzocht de adviezen over misbruik van het Smart Install Protocol en de Network Infrastructure Security Guide van de National Security Agency (NSA) te raadplegen voor configuratierichtlijnen.
Andere best practices zijn onder meer het gebruik van een sterk hash-algoritme om wachtwoorden op te slaan, het vermijden van hergebruik van wachtwoorden, het toewijzen van sterke en complexe wachtwoorden en het afzien van het gebruik van groepsaccounts die geen verantwoording afleggen.
De ontwikkeling vindt plaats terwijl Cisco waarschuwt voor de openbare beschikbaarheid van een proof-of-concept (PoC)-code voor CVE-2024-20419 (CVSS-score: 10,0), een kritieke fout met gevolgen voor Smart Software Manager On-Prem (Cisco SSM On-Prem) waarmee een externe, niet-geverifieerde aanvaller het wachtwoord van elke gebruiker kan wijzigen.
De grote speler op het gebied van netwerkapparatuur heeft ook gewaarschuwd voor meerdere kritieke tekortkomingen (CVE-2024-20450, CVE-2024-20452 en CVE-2024-20454, CVSS-scores: 9,8) in Small Business SPA300 Series en SPA500 Series IP-telefoons waarmee een aanvaller willekeurige opdrachten kan uitvoeren op het onderliggende besturingssysteem of een denial-of-service (DoS)-situatie kan veroorzaken.
“Deze kwetsbaarheden ontstaan doordat binnenkomende HTTP-pakketten niet goed worden gecontroleerd op fouten, wat kan leiden tot een bufferoverloop”, aldus Cisco in een bulletin dat op 7 augustus 2024 werd gepubliceerd.
“Een aanvaller kan deze kwetsbaarheid misbruiken door een gefabriceerd HTTP-verzoek naar een getroffen apparaat te sturen. Een succesvolle exploit kan de aanvaller in staat stellen een interne buffer te laten overlopen en willekeurige opdrachten uit te voeren op het root-privilegeniveau.”
Het bedrijf gaf aan dat het niet van plan is om software-updates uit te brengen om de problemen te verhelpen, aangezien de apparaten het einde van hun levensduur hebben bereikt. Gebruikers moeten dan overstappen op nieuwere modellen.