在今天发布的安全警报中,出于安全原因,思科已建议Nexus交换机的所有者禁用称为PowerOn Auto Provisioning(POAP)的功能。
当前在NX-OS上默认启用POAP,该操作系统在Nexus上运行- 思科的数据中心产品线和流量密集型交换机。
POAP是一种自动配置和零接触部署功能,可帮助设备所有者进行Nexus交换机的初始部署和配置。
该功能通过检查本地配置脚本来工作。如果脚本已删除,开关已重置为出厂设置,或者这是首次启动,则POAP守护程序将连接到服务器的预设列表以下载初始配置文件。
要执行此操作,交换机必须首先从本地DHCP服务器获取IP地址。POAP配置设置也可以通过DHCP响应传递。
据思科称,这就是问题所在。该公司表示,Nexus设备上的POAP功能将接受它收到的第一个DHCP响应。
本地网络上存在的攻击者可以向Nexus交换机发送格式错误的DHCP响应,以劫持其POAP设置,并诱骗交换机从攻击者的服务器下载并执行配置脚本。
此“错误”不允许黑客通过直接利用来接管设备,但是对于已经破坏了内部网络上的系统并希望升级对其他设备的访问权限的攻击者而言,这可能是非常有用的。
因此,思科现在建议Nexus所有者在不使用POAP功能的情况下将其禁用。
该公司针对所有Nexus型号发布了NX-OS更新,其中包括禁用该功能的新终端命令。思科的安全警报中包含有关如何使用新终端命令的详细信息以及受影响的Nexus型号的列表。
该警报与公司去年发布的关于另一种自动配置功能的警报极为相似。早在2018年3月,思科就告诉客户禁用过时的Smart Install功能,因为攻击者可能会滥用它来接管设备。一个月后的2018年4月,该功能确实得到了有效利用,被黑客主义者和国家黑客组织滥用。
思科还发布了30个其他安全修复程序
除了与POAP相关的安全警报外,思科今天还发布了针对30个漏洞的补丁程序,其中七个漏洞可以使攻击者以root级权限执行代码。
思科安全团队称,没有固定的漏洞被野外的攻击者利用。
最后但并非最不重要的一点是,这家网络巨头还警告设备所有者,针对CVE-2018-0296的新一波攻击是该公司去年6月修补的影响Cisco ASA路由器的漏洞。
在去年的第一波攻击之后,黑客再次通过CVE-2018-0296重新瞄准ASA设备。发生新攻击的原因可能是去年秋天在GitHub上发布并在上个月更新的新概念验证脚本。