Cisco Nexus kommutator egalariga POAPni o’chirib qo’yishni maslahat berdi.
Hujumchilar ushbu funksiyadan ichki tarmoqdagi qurilmalarni buzish uchun foydalanishlari mumkin.
Cisco xavfsizlik nuqtai nazaridan Cisco Nexus kommutator egalariga PowerOn Auto Provisioning (POAP) funksiyasini o’chirib qo’yishni tavsiya qildi. Ushbu funksiya NX-OS (Nexus operatsion tizimi) da sukut bo’yicha yoqilgan va dasturiy ta’minot tasvirlarini yangilash va Cisco Nexus kommutatorlari tarmoqqa birinchi marta joylashtirilganda konfiguratsiya fayllarini o’rnatish jarayonini avtomatlashtirish uchun mo’ljallangan.
Bu funksiya konfiguratsiya skriptining mavjudligini tekshiradi. Agar skript o’chirilgan bo’lsa, kommutator zavod sozlamalariga qaytarilgan bo’lsa yoki qurilma birinchi marta ishga tushirilganda, POAP demoni konfiguratsiya faylini yuklab olish uchun oldindan belgilangan serverlar ro’yxatiga ulanadi. Buning uchun kommutator avval mahalliy DHCP serveridan IP-manzilni olishi kerak va konfiguratsiya sozlamalari DHCP serverining javobida uzatilishi mumkin.
Cisco ogohlantirishiga ko’ra, muammo shundaki, POAP DHCP serveridan birinchi javobni qabul qiladi, bu esa mahalliy tarmoqqa kirish huquqiga ega bo’lgan tajovuzkor tomonidan ishlatilishi mumkin. Ular Nexus qurilmasiga maxsus tayyorlangan DHCP javoblarini yuborishlari, POAP sozlamalarini ushlab qolishlari va kommutatorni tajovuzkor tomonidan boshqariladigan serverdan konfiguratsiya skriptlarini yuklab olishga majburlashlari mumkin.
Bu «zaiflik» kommutatorni to’g’ridan-to’g’ri boshqarish imkoniyatini bermaydi, ammo agar tajovuzkor ichki tarmoqdagi tizimni buzib kirgan bo’lsa, boshqa qurilmalarga kirish uchun foydali bo’lishi mumkin.
Cisco barcha Nexus modellari uchun NX-OS yangilanishlarini, jumladan, POAPni o’chirish uchun yangi terminal buyrug’ini chiqardi. Ushbu buyruqdan foydalanish bo’yicha ko’rsatmalar va barcha ta’sirlangan Nexus modellari ro’yxati bu yerda mavjud.
