Массированная атака на Cisco

в 21:57, , рубрики: Cisco, cisco dos security, Блог компании «Zadarma», информационная безопасность

Сегодня (в пятницу) вечером дважды получили уведомление о атаке на маршрутизаторы Cisco. В результате успешной атаки удаляется конфигурация.
Runet Cisco attack

Надеюсь данная информация из рассылки IX будет полезна:

Вынуждены обратить Ваше внимание, что в настоящий момент в сети проявляет особую активность ботнет,
который заражает устройства компании Cisco.

По имеющимся у нас данным в результате действия этого вируса удаляется полностью конфигурация
сетевого устройства и необходима повторная настройка через удаленную консоль.

Эксплуатируемая уязвимость CVE-2018-0171
(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2)

Обратите внимание, что вирус сканирует сети на предмет открытого порта TCP 4786.

Инфраструктура сети MSK-IX не затронута.

В качестве мер защиты возможно блокирование порта с помощью списков доступа или же отключение
vstack (команда 'no vstack')

При повторном сообщении, через час, дополнили информацию о готовности помочь пострадавшим участникам оперативно получить консоль к роутерам (значит их количество не 0 и не 1).

Как писали ранее, уязвимость получила идентификатор CVE-2018-0171 и 9,8 балла по шкале CVSS. Проблема основана на некорректной валидации пакетов в клиенте SMI (Cisco Smart Install). Проблема опубликована еще 28 марта, разработчики Cisco уже выпустили патчи для обнаруженного бага, после этого исследователи опубликовали и proof-of-concept эксплоит.
Похоже в пятницу вечером какие-то «веселые ребята» решили применить свой ботнет для скана портов в поисках открытого TCP 4786 и дальнейшей атаки на обнаруженные устройства.

Ранее писали про 8.5 млн устройств найденных с открытым портом и 250 тыс без патчей. Завтра к утру узнаем какой их процент в Рунете.

P.S.: Так как не считаю себя специалистом по безопасности Cisco, любые дополнения приветствуются в комментариях. Надеюсь они также помогут администраторам избежать атаки.

P.P.S.: Инфраструктура облака Zadarma не пострадала, но именно в это время мы заметили проблемы у некоторых телефонных операторов в Москве, возможно они были связаны с атакой.

Автор: IgorDimitrov

Источник

Поделиться

* - обязательные к заполнению поля