Надеюсь данная информация из рассылки IX будет полезна:
Вынуждены обратить Ваше внимание, что в настоящий момент в сети проявляет особую активность ботнет, который заражает устройства компании Cisco.При повторном сообщении, через час, дополнили информацию о готовности помочь пострадавшим участникам оперативно получить консоль к роутерам (значит их количество не 0 и не 1).
По имеющимся у нас данным в результате действия этого вируса удаляется полностью конфигурация сетевого устройства и необходима повторная настройка через удаленную консоль.
Эксплуатируемая уязвимость CVE-2018-0171.
Обратите внимание, что вирус сканирует сети на предмет открытого порта TCP 4786.
Инфраструктура сети MSK-IX не затронута.
В качестве мер защиты возможно блокирование порта с помощью списков доступа или же отключение vstack (команда 'no vstack')
Как писали ранее, уязвимость получила идентификатор CVE-2018-0171 и 9,8 балла по шкале CVSS. Проблема основана на некорректной валидации пакетов в клиенте SMI (Cisco Smart Install). Проблема опубликована еще 28 марта, разработчики Cisco уже выпустили патчи для обнаруженного бага, после этого исследователи опубликовали и proof-of-concept эксплоит.
Похоже в пятницу вечером какие-то «веселые ребята» решили применить свой ботнет для скана портов в поисках открытого TCP 4786 и дальнейшей атаки на обнаруженные устройства.
Ранее писали про 8.5 млн устройств найденных с открытым портом и 250 тыс без патчей. Завтра к утру узнаем какой их процент в Рунете.
P.S.: Так как не считаю себя специалистом по безопасности Cisco, любые дополнения приветствуются в комментариях. Надеюсь они также помогут администраторам избежать атаки.
P.P.S.: Инфраструктура облака Zadarma не пострадала, но именно в это время мы заметили проблемы у некоторых телефонных операторов в Москве, возможно они были связаны с атакой.
Комментарии (9)
HoustonHeat
07.04.2018 15:50Тут полный howto со всеми вытекающими давно был в .pdf
И в твиттере не очень-то прятались: twitter.com/imedv
fluf
07.04.2018 15:50+6Не знаю как насчет «Инфраструктура сети MSK-IX не затронута», но мы полностью потеряли нашу стойку на Профсоюзной/Бутлерова. Там где ранее был Демос, а теперь Релком.
И надеюсь тут есть представители Релкома: Ребята, я понимаю у вас аншлаг, аврал и дикая проблема. Но шесть часов не отвечать на телефон и только через 4 часа ответить на созданный тикет фразой «Решаем». Это перебор. Это совсем дикий перебор. Держать крупного клиента в неведении. Поставить его в ситуацию когда наша аварийная смена не может выехать на место, так как там пропускной режим, а ввиду не возможности связаться с Релкомом, даже нельзя было заказать пропуск и приехать на объект. 7,5 часов downtime.
Я тут просто напишу много-много матов. Спасибо.
VitamiNoZzZz
07.04.2018 15:50Эта уязвимость известна с прошлого года, интересно кто держит свитчи мордой в интернет?
FramerSochi
09.04.2018 00:13+1Товарищ, представьте что вы оператор связи.
Теперь представьте, что у вас статичная маршрутизация для клиентов.
А теперь представьте, что некоторые клиенты пользуются белыми IP адресами.
До сих пор ничего необычного, правда?, Ок, едем дальше, теперь будет вишенка.
Все вторичные IP-интерфейсы, поднятые на коммутаторе Cisco для подключения таких клиентов — давали доступ к обсуждаемой уязвимости. Закрыть к ним доступ снаружи = закрыть Интернет для этих клиентов. Невероятно, но факт.
Расскажите мне теперь про глупых ленивых админов, вываливающих интерфейсы управления мордой в интернет.
IgorDimitrov Автор
09.04.2018 00:15Уважаемый VitamiNoZzZz, я писал слово «роутеры». Думаю вы знаете что у циски (и не только циски) во многих моделях весьма размыто понимание свич/роутер. Большинство железок умеют и то и другое.
Чистые L2 свичи думаю и не пострадали ни у кого.
scruff
09.04.2018 13:57В мой офис Инет «приходит» по витухе с крыши, затем в 10-долларовый 8-ми портовый неуправляемый свитч; из него по проксям/NAT-ам. Уверен, таким путём к 90% потребителям и заходит Инет. Думал под это дело нарезать отдельный VLAN в одном из SG-свитчей, который частью портов смотрит в LAN и таким образом избавиться от лишних соплей. После прочтения о данной уязвимости отпало всякое желание убрать неуправляемый свитч.
navion
Говорят, что на ММТС-9 сегодня был сискоконнект афтепати:
