vStack چیست

vStack چیست و چگونه باعث قطعی در بسیاری از سازمان های ایران شد :

در تجهیرات سیسکو یک قابلیت وجود دارد بنام Cisco Smart Install  که با استفاده از این قابلیت میتوانیم یک تجهیز را بعنوان Director برای مدیریت متمرکز روی image ها و تنظیمات هر تجهیز استفاده کنیم که قبل این کار باید تجهیزات مورد نظر را بعنوان Cisco Smart Install Client  برای Director در نظر بگیریم و سپس Director با استفاده از TFTP و همچنین بعنوان DHCP server  برای اون Client  عمل خواهد کرد و روی پورت TCP 4786 با Client ارتباط برقرار میکند و تنظیمات و در صورت نیاز image سیستم عامل اون تجهیز را مدیریت میکند .

Cisco Smart Install بصورت پیشفرض روی سوییچ های مبتنی بر ISO سیسکو فعال میباشد و  معمولاًً  این قابلیت روی سوییچ ها پیاده سازی میشود اما بسیاری از روتر ها را نیز میتوانیم بعنوان Director در نظر بگیریم .

حفره امنیتی موجود در این مکانیزم ، عدم ایجاد محدودیت روی پورت TCP 4786 میباشد که فرد مهاجم میتواند با دستکاری پکت و ارسال آن به پورت مذکور ، سوییچ را ریبوت کند و باعث از کار افتادن سرویس های شبکه (DoS) بشود .

شرکت سیسکو در تاریخ ۲۸  march 2018  که  ۹ روز قبل از حملات میباشد در سایت خود این حفرا امنیتی را اطلاع رسانی کرد و Patch مربوط به آنرا نیز در سایت قرار داد که برای از بین بردن این حفره امنیتی میتوانیم با از پچ شرکت سیسکو استفاده کنیم و یا در صورتیکه از این مکانیزم استفاده نمیکنیم ، آنرا غیرفعال و یا محدود کنیم .

برای بررسی فعال بودن این مکانیزم روی تجهیز هود دستور زیر را میزنیم :

Switch# Show vstack config

برای غیر فعال کردن این قابلیت روی Director  کافیست دستور زیر را به صورت Global بزنیم :

Router(config)# no vstack

 و برای غیر فعال کردن این قابلیت روی Client  های میزنیم :

switch(config)# no vstack

switch(config)# vstack director 0.0.0.0

اما در صورتیکه از این قابلیت استفاده میکنیم ، میتوانیم با Access list آنرا محدود کنیم :

Ip access-list extended VSTACK-Hardening

 Permit tcp host <director IP address> host <Client IP address> eq 4786

 Deny tcp any any eq 4786

 Permit ip any any