Массовая атака на оборудование Cisco
Коллеги, в настоящий момент в сети Интернет фиксируется мощная ботнет-атака. Все адреса сканируются на предмет наличия свежей уязвимости в программном обеспечении Cisco IOS (CVE-2018–0171, CVSS=9,8), позволяющей удаленно выполнять команды на устройствах Cisco. Бот заходит на устройство и удаляет конфигурацию, записывая вместо нее свои файлы.
Разработчики Cisco уже выпустили патчи для обнаруженной уязвимости (https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2).
Мы рекомендуем установить патчи как можно скорее. Под катом — уведомление, которое Solar JSOC рассылает клиентам, с деталями уязвимости и рекомендациями по противодействию.
Проблема связана с некорректной валидацией пакетов в клиенте Cisco Smart Install (SMI). Воспользовавшись уязвимостью, злоумышленник может модифицировать настройки TFTP-сервера и извлечь конфигурационные файлы через протокол TFTP, изменить общий конфигурационный файл коммутатора, заменить образ ОС IOS, создать локальные учетные записи и предоставить возможность атакующим авторизоваться на устройстве и выполнить любые команды.
Устройства Cisco, которые уязвимы к этой атаке:Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs
Чаще всего, атака фиксируется на оборудовании провайдеров.
Рекомендации:
- Отключить протокол SMI на сетевых устройствах (инструкция тут: blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html).
- Поставить последние обновления на уязвимые сетевые устройства.