06.04.2018 21:57
IgorDimitrov 9 15000 Источник
Сегодня (в пятницу) вечером дважды получили уведомление о атаке на маршрутизаторы Cisco. В результате успешной атаки удаляется конфигурация.

Runet Cisco attack

Надеюсь данная информация из рассылки IX будет полезна:
Вынуждены обратить Ваше внимание, что в настоящий момент в сети проявляет особую активность ботнет, который заражает устройства компании Cisco.

По имеющимся у нас данным в результате действия этого вируса удаляется полностью конфигурация сетевого устройства и необходима повторная настройка через удаленную консоль.

Эксплуатируемая уязвимость CVE-2018-0171.

Обратите внимание, что вирус сканирует сети на предмет открытого порта TCP 4786.

Инфраструктура сети MSK-IX не затронута.

В качестве мер защиты возможно блокирование порта с помощью списков доступа или же отключение vstack (команда 'no vstack')
При повторном сообщении, через час, дополнили информацию о готовности помочь пострадавшим участникам оперативно получить консоль к роутерам (значит их количество не 0 и не 1).

Как писали ранее, уязвимость получила идентификатор CVE-2018-0171 и 9,8 балла по шкале CVSS. Проблема основана на некорректной валидации пакетов в клиенте SMI (Cisco Smart Install). Проблема опубликована еще 28 марта, разработчики Cisco уже выпустили патчи для обнаруженного бага, после этого исследователи опубликовали и proof-of-concept эксплоит.
Похоже в пятницу вечером какие-то «веселые ребята» решили применить свой ботнет для скана портов в поисках открытого TCP 4786 и дальнейшей атаки на обнаруженные устройства.

Ранее писали про 8.5 млн устройств найденных с открытым портом и 250 тыс без патчей. Завтра к утру узнаем какой их процент в Рунете.

P.S.: Так как не считаю себя специалистом по безопасности Cisco, любые дополнения приветствуются в комментариях. Надеюсь они также помогут администраторам избежать атаки.

P.P.S.: Инфраструктура облака Zadarma не пострадала, но именно в это время мы заметили проблемы у некоторых телефонных операторов в Москве, возможно они были связаны с атакой.

Комментарии (9)


  1. navion
    07.04.2018 01:11
    #10745594
    +3

    Говорят, что на ММТС-9 сегодня был сискоконнект афтепати:


  1. HoustonHeat
    07.04.2018 15:50
    #10746096

    Тут полный howto со всеми вытекающими давно был в .pdf
    И в твиттере не очень-то прятались: twitter.com/imedv


  1. fluf
    07.04.2018 15:50
    #10746098
    +6

    Не знаю как насчет «Инфраструктура сети MSK-IX не затронута», но мы полностью потеряли нашу стойку на Профсоюзной/Бутлерова. Там где ранее был Демос, а теперь Релком.
    И надеюсь тут есть представители Релкома: Ребята, я понимаю у вас аншлаг, аврал и дикая проблема. Но шесть часов не отвечать на телефон и только через 4 часа ответить на созданный тикет фразой «Решаем». Это перебор. Это совсем дикий перебор. Держать крупного клиента в неведении. Поставить его в ситуацию когда наша аварийная смена не может выехать на место, так как там пропускной режим, а ввиду не возможности связаться с Релкомом, даже нельзя было заказать пропуск и приехать на объект. 7,5 часов downtime.
    Я тут просто напишу много-много матов. Спасибо.


  1. VitamiNoZzZz
    07.04.2018 15:50
    #10746100

    Эта уязвимость известна с прошлого года, интересно кто держит свитчи мордой в интернет?


    1. Protos
      08.04.2018 05:59
      #10746472

      Те же кто и домашние веб камеры светит в интернет с базовым паролем


      1. tankistua
        08.04.2018 08:39
        #10746496

        Как по мне, то так им и надо — это обычное разгильдяйство.


    1. FramerSochi
      09.04.2018 00:13
      #10747018
      +1

      Товарищ, представьте что вы оператор связи.
      Теперь представьте, что у вас статичная маршрутизация для клиентов.
      А теперь представьте, что некоторые клиенты пользуются белыми IP адресами.

      До сих пор ничего необычного, правда?, Ок, едем дальше, теперь будет вишенка.

      Все вторичные IP-интерфейсы, поднятые на коммутаторе Cisco для подключения таких клиентов — давали доступ к обсуждаемой уязвимости. Закрыть к ним доступ снаружи = закрыть Интернет для этих клиентов. Невероятно, но факт.

      Расскажите мне теперь про глупых ленивых админов, вываливающих интерфейсы управления мордой в интернет.


    1. IgorDimitrov Автор
      09.04.2018 00:15
      #10747020

      Уважаемый VitamiNoZzZz, я писал слово «роутеры». Думаю вы знаете что у циски (и не только циски) во многих моделях весьма размыто понимание свич/роутер. Большинство железок умеют и то и другое.
      Чистые L2 свичи думаю и не пострадали ни у кого.


  1. scruff
    09.04.2018 13:57
    #10747484

    В мой офис Инет «приходит» по витухе с крыши, затем в 10-долларовый 8-ми портовый неуправляемый свитч; из него по проксям/NAT-ам. Уверен, таким путём к 90% потребителям и заходит Инет. Думал под это дело нарезать отдельный VLAN в одном из SG-свитчей, который частью портов смотрит в LAN и таким образом избавиться от лишних соплей. После прочтения о данной уязвимости отпало всякое желание убрать неуправляемый свитч.