Cisco adviseert Nexus switch-eigenaren POAP-functie uit te schakelen

Cisco heeft eigenaren van Nexus switches geadviseerd om een functie genaamd PowerOn Auto Provisioning (POAP) uit te schakelen wegens beveiligingsredenen. POAP staat nu standaard aan in NX-OS, het besturingssysteem op Nexus. 

POAP is een automatische provisioning- en zero-touch deployment-functie die eigenaren van het apparaat helpt bij de eerste deployment en configuratie van Nexus-switches. De functie werkt door te checken op een lokaal configuratiescript. Als het script verwijderd is, is de switch teruggezet naar fabrieksinstellingen of is het de eerste keer dat het apparaat aan gaat. De POAP daemon verbindt dan met een preset-lijst van servers om een initieel configuratiebestand te downloaden.

Om dit te bereiken moet de switch eerst een IP-adres verkrijgen van een lokale DHCP-server. De POAP-configuratie-instellingen kunnen ook doorgegeven worden via de reactie van DHCP. En dat is waar het probleem volgens Cisco zit, meldt ZDNet. Het bedrijf zegt dat de POAP-functie op Nexus-apparaten de eerste DHCP-reactie accepteert die het ontvangt.

Een aanvaller die op het lokale netwerk zit, kan malafide DHCP-reacties versturen naar de switches om hun POAP-instellingen over te nemen en switches zo ver te krijgen om configuratiescripts van een server van een aanvaller te downloaden en uit te voeren. Hackers kunnen apparaten dus niet via een exploit direct overnemen, maar het kan wel handig zijn voor aanvallers die al een systeem op een intern netwerk zijn binnengedrongen, en hun toegang willen uitbreiden naar andere apparaten.

Functie uitschakelen

Daarom raadt Cisco Nexus-eigenaren nu aan om de POAP-functie uit te schakelen als ze het niet gebruiken. Daarnaast heeft het bedrijf NX-OS-updates uitgerold voor alle Nexus-modellen, waarin een nieuw terminal command zit om de functie uit te schakelen.

Daarnaast heeft het bedrijf patches uitgebracht voor dertig kwetsbaarheden. Zeven van die kwetsbaarheden laten aanvallers code uitvoeren met root-level privileges. Geen van de kwetsbaarheden werden in het wild misbruikt door aanvallers, aldus Cisco.