Cisco посоветовала владельцам коммутаторов Nexus отключить POAP
Компания Cisco порекомендовала владельцам коммутаторов Cisco Nexus отключить функцию PowerOn Auto Provisioning (POAP) в связи с соображениями безопасности. Данная функция по умолчанию включена в NX-OS (операционная система в Nexus) и предназначена для автоматизации процесса обновления образов ПО и установки конфигурационных файлов на коммутаторах Cisco Nexus при их первом развертывании в сети.
Функция проверяет наличие скрипта конфигурации. В случаях, если скрипт был удален, настройки коммутатора сброшены до заводских или при первой загрузке устройства, демон POAP подключается в серверам в предустановленном списке для загрузки конфигурационного файла. Для этого коммутатору сперва требуется получить IP-адрес с локального DHCP-сервера, причем настройки конфигурации могут передаваться в ответе DHCP-сервера.
Согласно предупреждению Cisco, проблема заключается в том, что POAP принимает первый ответ от DHCP-сервера, чем может воспользоваться атакующий с доступом к локальной сети. Он может отправить специально сформированные DHCP-ответы на устройство Nexus, перехватить настройки POAP и «заставить» коммутатор загрузить конфигурационные скрипты с подконтрольного злоумышленнику сервера.
Данная «уязвимость» не предоставляет возможность напрямую перехватить контроль над коммутатором, но может пригодиться для получения доступа к другим устройствам, если атакующий уже скомпрометировал какую-либо систему во внутренней сети.
Cisco выпустила обновления NX-OS для всех моделей Nexus, включающие новую команду терминала для отключения функции POAP. Инструкции по использованию команды и список всех уязвимых моделей Nexus доступны здесь.