Сегодня (в пятницу) вечером дважды получили уведомление о атаке на маршрутизаторы Cisco. В результате успешной атаки удаляется конфигурация.
Надеюсь данная информация из рассылки IX будет полезна:
Вынуждены обратить Ваше внимание, что в настоящий момент в сети проявляет особую активность ботнет,
который заражает устройства компании Cisco.По имеющимся у нас данным в результате действия этого вируса удаляется полностью конфигурация
сетевого устройства и необходима повторная настройка через удаленную консоль.Эксплуатируемая уязвимость CVE-2018-0171
(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2)Обратите внимание, что вирус сканирует сети на предмет открытого порта TCP 4786.
Инфраструктура сети MSK-IX не затронута.
В качестве мер защиты возможно блокирование порта с помощью списков доступа или же отключение
vstack (команда 'no vstack')
При повторном сообщении, через час, дополнили информацию о готовности помочь пострадавшим участникам оперативно получить консоль к роутерам (значит их количество не 0 и не 1).
Как писали ранее, уязвимость получила идентификатор CVE-2018-0171 и 9,8 балла по шкале CVSS. Проблема основана на некорректной валидации пакетов в клиенте SMI (Cisco Smart Install). Проблема опубликована еще 28 марта, разработчики Cisco уже выпустили патчи для обнаруженного бага, после этого исследователи опубликовали и proof-of-concept эксплоит.
Похоже в пятницу вечером какие-то «веселые ребята» решили применить свой ботнет для скана портов в поисках открытого TCP 4786 и дальнейшей атаки на обнаруженные устройства.
Ранее писали про 8.5 млн устройств найденных с открытым портом и 250 тыс без патчей. Завтра к утру узнаем какой их процент в Рунете.
P.S.: Так как не считаю себя специалистом по безопасности Cisco, любые дополнения приветствуются в комментариях. Надеюсь они также помогут администраторам избежать атаки.
P.P.S.: Инфраструктура облака Zadarma не пострадала, но именно в это время мы заметили проблемы у некоторых телефонных операторов в Москве, возможно они были связаны с атакой.
Автор: IgorDimitrov
