L’Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) dels Estats Units ha revelat que els actors de les amenaces estan abusant de la funció Smart Install (SMI) heretada de Cisco amb l’objectiu d’accedir a dades delicades.

L’agència ha afirmat que ha vist que els atacants «adquireixen fitxers de configuració del sistema aprofitant els protocols o el programari disponibles als dispositius, com ara abusar de la funció Smart Install heretada de Cisco».

També va dir que continua observant tipus de contrasenyes febles utilitzats als dispositius de xarxa de Cisco, amb la qual cosa queden exposats als atacs de trencament de contrasenyes. Els tipus de contrasenya fan referència a algorismes que es fan servir per protegir la contrasenya d’un dispositiu Cisco dins d’un fitxer de configuració del sistema.

Els actors d’amenaça que puguin accedir al dispositiu d’aquesta manera podrien accedir fàcilment als fitxers de configuració del sistema, i facilitar un compromís més profund de les xarxes víctimes.

«Les organitzacions han de garantir que totes les contrasenyes dels dispositius de xarxa s’emmagatzemen amb un nivell de protecció suficient», va dir CISA, i va afegir que recomana «escriviu una contrasenya tipus 8 de protecció per a tots els dispositius Cisco per protegir les contrasenyes dins dels fitxers de configuració».

També insta les empreses que llegeixin l’Avís d’ús indegut del protocol d’instal·lació intel·ligent i Guia de seguretat de la infraestructura de xarxa de l’Agència Nacional de Seguretat (NSA) per a guia de configuració.

Les pràctiques recomanades addicionals inclouen l’ús d’un algorisme de hash fort per emmagatzemar contrasenyes, evitar la reutilització de contrasenyes, assignar contrasenyes fortes i complexes i abstenir-se d’utilitzar comptes de grup que no proporcionin responsabilitat.

El desenvolupament arriba quan Cisco ha avisat de la disponibilitat pública d’un codi de prova de concepte (PoC) per CVE-2024-20419 (puntuació CVSS: 10,0), una fallada crítica que afecta Smart Software Manager On-Prem (Cisco SSM On-Prem) que podria permetre a un atacant remot i no autenticat canviar la contrasenya de qualsevol usuari.

L’equip principal de xarxes també ha alertat de múltiples deficiències crítiques (CVE-2024-20450, CVE-2024-20452 i CVE-2024-20454, puntuacions CVSS: 9,8) en els telèfons IP de la sèrie SPA300 i SPA500 per a petites empreses que podrien permetre que l’atacant executés ordres arbitràries al sistema operatiu subjacent o provoqués una condició de denegació de servei (DoS).

Cisco, en un butlletí publicat el 7 d’agost de 2024, va informar «Aquestes vulnerabilitats existeixen perquè els paquets HTTP entrants no es comproven correctament per detectar errors, cosa que podria provocar un desbordament de memòria intermèdia».

«Un atacant podria explotar aquesta vulnerabilitat enviant una sol·licitud HTTP dissenyada a un dispositiu afectat. Una explotació reeixida podria permetre a l’atacant desbordar un buffer intern i executar ordres arbitràries al nivell de privilegis d’arrel.»

L’empresa va dir que no té la intenció de llançar actualitzacions de programari per solucionar els defectes, perquè els aparells han arribat a l’estat de final de la seva vida (EoL), la qual cosa requereix que els usuaris adquireixin models més nous.