Több biztonsági kutató is beszámolt a közelmúltban arról, hogy a Cisco Smart Install (SMI) protocol-t használva, egy nem hitelesített távoli támadó egy új IOS image-t betöltve képes lehet a startup-config beállításokat módosítani és a készüléket újraindítani. Ezen kívül a rosszindulatú felhasználó képes lehet magasabb jogokkal CLI parancsokat futtatni azokon a switch-eken, amin Cisco IOS vagy IOS XE fut.
A SMI Protocol a director (központi switch) üzenetét a client hitelesítés nélkül elfogadja. Ennek következtében a támadó által létrehozott, speciálisan szerkesztett SMI protocol üzenetekkel az alábbiakat lehet elérni:
- Megváltoztatható a TFTP szerver elérhetősége a client-nél
- Ennek következtében TFTP szerverről harmadik fél által létrehozott IOS image-t töltheti be a client
- A támadó által üzemeltetett TFTP szerverre lementhetőek az eredeti startup-config beállítások, majd a támadás végén ezek visszamásolhatóak
- Az eredeti startup-config beállításokat rosszindulatú konfigurációra cserélve elérhető, hogy az eszköz bizonyos időintervallumban újrainduljon
- A támadó képes lehet magasabb jogokkal CLI parancsokat futtatni, azokon a switch-eken, amin Cisco IOS 15.2(2)E vagy későbbi és IOS XE vagy későbbi verzió fut
Mivel a protocol-t támogató switch-eken az SMI gyárilag be van kapcsolva, ezért amennyiben nincs használatban, a fentiekre tekintettel javasolt ezt a beállítást kikapcsolni. Ez két módon tehető meg:
- a no vstack paranccsal
- azon eszközökön, ahol a no vstack parancs nem érhető el, lehetőség van Interface access control list definiálására (ACL).
A Cisco ezzel párhuzamosan frissítette a kiadott Smart Install Configuration Guide-ját hozzáadva néhány biztonsági tanácsot.
Az esettel kapcsolatban tömeges kihasználásról a Nemzeti Kibervédelmi Intézet nem rendelkezik információval, azonban ennek ellenére javasolt a biztonsági intézkedések megtétele.
