07.04.2018 08:47
SolarSecurity 18 17900 Источник
Коллеги, вчера началась и до сих пор продолжается мощная ботнет-атака. Все IP-адреса сканируются на предмет наличия свежей уязвимости в программном обеспечении Cisco IOS (CVE-2018-0171, CVSS=9,8), позволяющей удаленно выполнять команды на устройствах Cisco. Бот заходит на устройство и удаляет конфигурацию, записывая вместо нее свои файлы. Мы фиксируем попытки эксплуатации уязвимости с более ста разных адресов, из разных стран, и их пул продолжает расширяться.

Разработчики Cisco уже выпустили патчи для обнаруженной уязвимости.

Мы рекомендуем установить патчи как можно скорее. Под катом — уведомление, которое Solar JSOC рассылает клиентам, с деталями уязвимости и рекомендациями по противодействию.

Проблема связана с некорректной валидацией пакетов в клиенте Cisco Smart Install (SMI). Воспользовавшись уязвимостью, злоумышленник может модифицировать настройки TFTP-сервера и извлечь конфигурационные файлы через протокол TFTP, изменить общий конфигурационный файл коммутатора, заменить образ ОС IOS, создать локальные учетные записи и предоставить возможность атакующим авторизоваться на устройстве и выполнить любые команды.
Устройства Cisco, которые уязвимы к этой атаке:

Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs
Чаще всего, атака фиксируется на оборудовании провайдеров.

Рекомендации:

  1. Отключить протокол SMI на сетевых устройствах (инструкция тут).
  2. Поставить последние обновления на уязвимые сетевые устройства.

Комментарии (18)


  1. LukaSafonov
    07.04.2018 12:06
    #10745886

    Выходные перестали быть томными.


    1. SolarSecurity Автор
      07.04.2018 12:17
      #10745914
      +3

      Пятница, вечер — классика.


      1. navion
        07.04.2018 15:26
        #10746082

        Вы бы в JSOC отключили мониторинг за вчера, а то задолбаются тикеты слать.


  1. nazarpc
    07.04.2018 12:42
    #10745942
    +12

    Cisco могли бы в таком случае сами просканировать сеть и установить обновление, lol


    1. VolCh
      07.04.2018 22:01
      #10746336
      +1

      Статья в общем случае.


  1. Apologiz
    07.04.2018 12:53
    #10745952

    Я то думаю, что домашний Билайн приуныл…


    1. san-x
      08.04.2018 21:37
      #10746918

      аналогично… причем не только билайн, у меня приуныл синхронно с трех разных провайдеров… подумав, что не могут же "все шагать не в ногу", и пошел на всё домашнее апдейты накатывать… не помогло, конечно, но хотя бы поднял зад и сделал это… хоть такая польза )


  1. F0iL
    07.04.2018 13:29
    #10746002

    в Питере вчера почти весь вечер лежали ISP Скайнэт (причем основательно так лежал, даже автоответчик службы саппорта не работал, тупо сбрасывал вызов) и известный ресурс Fontanka.ru, официально никто заявлений пока не делал, но может это и не совпадение.


    1. just_login
      08.04.2018 21:37
      #10746920

      Фонтанка не работала действительно из-за этого и заявление они делали:
      http://m.fontanka.ru/2018/04/06/130/


  1. ahtox74
    07.04.2018 14:26
    #10746060
    -2

    PCAP or it didn't happen


  1. TimsTims
    07.04.2018 22:17
    #10746350

    Похоже, у кого-то была бессонная пятница… Или мрачное утро субботы))


  1. Elmot
    08.04.2018 07:54
    #10746480
    +2

    Судя по тому, что я слышал, "свежей" уязвимости толи год, толи полтора. А Cisco просто положила на нее. Никогда такого не было и вот опять.


  1. bryukhanovaa
    08.04.2018 21:37
    #10746922

    мне кажется в мире не так много каталистов выставленных в интернет, а если у кого-то и есть, то, опять мне кажется, это провайдеры от падения которых пострадает не так уж много людей


  1. FramerSochi
    08.04.2018 21:37
    #10746924

    Задал цискарям вопросы в соседней статье. Интересно, пройдёт ли тот коммент модерацию? Собственно вот он:

    … Тогда у меня к Вам 3 вопроса:

    1. Зачем надо было оставлять по умолчанию включённой никому не нужную, устаревшую и бажную фичу? Кому нужно — включил бы.

    2. Где были вы с вашими рекомендациями раньше, например позавчера?

    3. Эта уязвимость доступна не только через интерфейс управления, но и через любой вторичный интерфейс, коих на маршрутизирующем коммутаторе могут быть сотни и тысячи. Интерфейс управления был закрыт снаружи, только это не помогло. Поэтому заголовок Вашей статьи заведомо лукавый. Зачем Вы это делаете?


  1. NewDevDay
    08.04.2018 21:37
    #10746926

    Злоумышленники перезаписывают образ системы Cisco IOS и меняют конфигурационный файл, оставляя в нем послание «Do not mess with our elections» («Не вмешивайтесь в наши выборы»).

    Источник: каспер


  1. Phil_itch
    08.04.2018 21:38
    #10746928

    Вчера не возможно было купить в Мск билеты через инет в половину кинотеатров… теперь понятно.


  1. Miron11
    08.04.2018 21:38
    #10746930

    Какие альтернативы собственного производства.


    1. Miron11
      08.04.2018 22:22
      #10746954

      Думал откликнутся специалисты. Прошелся по Янедексу, за 10 минут собрал следующее:

      коммутаторы
      plgn.ru/catalog/switches/kommutatory-gigabit-arlangesr
      маршрутизаторы
      eltex-co.ru/catalog/service_gateways/esr-1000

      Я так думаю, если следить за производителями, то можно и лучше найти. Вроде бы не голые и босые. Ну там любителям адреналина рисковать конечно не запретишь.