✔Cisco рекомендует владельцам коммутаторов Nexus отключить POAP - «Новости»

Xakep #239. Вскрыть и изучить

• Содержание выпуска


• Подписка на «Хакер»

Разработчики Cisco рекомендуют владельцам коммутаторов Nexus отключить функциональность PowerOn Auto Provisioning (POAP) из соображений безопасности.

В настоящее время функциональность POAP по умолчанию включена в NX-OS (ОС Nexus) и предназначается для автоматизации и ускорения процесса развертывания коммутаторов Nexus. Работает это весьма просто: POAP проверяет наличие локального конфигурационного скрипта, и если тот был удален, коммутатор был сброшен до заводских настроек или запускается впервые, POAP свяжется с серверами из заранее определенного списка, чтобы загрузить файл конфигурации. Чтобы проделать все это, POAP сначала должен получить IP-адрес от локального сервера DHCP, и настройки конфигурации также могут передаваться через ответ DHCP.

Именно в DHCP и кроется основная проблема. Дело в том, что POAP принимает «к работе» первый же ответ, полученный от DHCP-сервера. Этим обстоятельством может воспользоваться атакующий в локальной сети: он может направить POAP вредоносный ответ DHCP, тем самым вынудив коммутаторы загрузить и выполнить скрипты конфигурации со своего сервера.

Из-за этого разработчики Cisco выпустили обновленную версию NX-OS для всех моделей Nexus, в которой появилась новая команда для отключения POAP. Ей настоятельно рекомендуется воспользоваться.

Нужно отметить, что это не первый случай, когда инженеры Cisco просят пользователей отказаться от  эксплуатации неких решений для автоматизации. Так, в марте прошлого года такая же участь постигла старую функциональность Smart Install, с помощью которой злоумышленники могли установить контроль над устройством. Тогда, спустя всего месяц после предупреждения разработчиков, недочеты Smart Install действительно стали использоваться для полномасштабных атак.