מי ששמע על ההתקפה של ארה”ב על מתגי סיסקו באיראן. ההתקפה הייתה על פרוטוקול/מנגנון SMI . הרבה שאלו אותי על המנגנון אז החלטתי להביא לכאן הסבר קצר:
פרוטוקול Smart Instהכל) SMI) של חברת סיסקו מאפשר הגדרת תצורה אוטומטית וניהול גרסת התוכנה בנתבים המותקנים ברשתות ארגוניות. פגיעות הקיימת בפרוטוקול עלולה לאפשר לתוקף מרוחק ובלתי מזוהה לשנות את הגדרות הציוד, לטעון גרסה אחרת של מערכת ההפעלה, לאתחל את הציוד, להעתיק קבצי קונפיגורציה ועוד.
הפרוטוקול מאפשר למשתמשים להתקין מתגים חדשים ברשת באמצעות חיבור של מתג חדש (integrated branch client – IBC) ללא הגדרות כלל, אשר לאחר הפעלתו יקבל את הגדרותיו ממתג או נתב מנהל (integrated branch director – IBD).
המתג/נתב מנהל והמתג הלקוח אינם חייבים להיות בסמיכות רשתית זה לזה, אלא יכולים להיות מרוחקים עד כדי 7 Network Hops.
מאחר ואין שימוש בהזדהות כלשהי לביצוע התהליך הנ”ל, תוקף יכול להתחזות לציוד מסוג IBD (מנהל), ולבצע תקיפה כנגד מתג מסוג IBC (מתג מנוהל). רק מתגים מנוהלים חשופים לתקיפה זו.
הפרוטוקול עושה שימוש בפורט tcp/4786 וכן בפרוטוקול TFTP (פורט 69/udp).
נטרול הפרוטוקול יתבצע באמצעות הפקודה: no vstack
הפקודה show vstack סטטוס במתג המנהל מאפשרת לראות את הגדרות המתגים המנוהלים על ידו.
בנוסף להגדרות אלו בציוד בתוך הרשת הארגונית, מומלץ לוודא כי פורט tcp/4786 וכן פורט 69/udp אינם נגישים לכל גורם מחוץ לרשת הארגונית, באמצעות הגדרת חוקי FW מתאימים.
