Сегодня (в пятницу) вечером дважды получили уведомление о атаке на маршрутизаторы Cisco. В результате успешной атаки удаляется конфигурация.
Надеюсь данная информация из рассылки IX будет полезна:
Как писали ранее, уязвимость получила идентификатор CVE-2018-0171 и 9,8 балла по шкале CVSS. Проблема основана на некорректной валидации пакетов в клиенте SMI (Cisco Smart Install). Проблема опубликована еще 28 марта, разработчики Cisco уже выпустили патчи для обнаруженного бага, после этого исследователи опубликовали и proof-of-concept эксплоит.
Похоже в пятницу вечером какие-то «веселые ребята» решили применить свой ботнет для скана портов в поисках открытого TCP 4786 и дальнейшей атаки на обнаруженные устройства.
Ранее писали про 8.5 млн устройств найденных с открытым портом и 250 тыс без патчей. Завтра к утру узнаем какой их процент в Рунете.
P.S.: Так как не считаю себя специалистом по безопасности Cisco, любые дополнения приветствуются в комментариях. Надеюсь они также помогут администраторам избежать атаки.
P.P.S.: Инфраструктура облака Zadarma не пострадала, но именно в это время мы заметили проблемы у некоторых телефонных операторов в Москве, возможно они были связаны с атакой.
Надеюсь данная информация из рассылки IX будет полезна:
Вынуждены обратить Ваше внимание, что в настоящий момент в сети проявляет особую активность ботнет, который заражает устройства компании Cisco.При повторном сообщении, через час, дополнили информацию о готовности помочь пострадавшим участникам оперативно получить консоль к роутерам (значит их количество не 0 и не 1).
По имеющимся у нас данным в результате действия этого вируса удаляется полностью конфигурация сетевого устройства и необходима повторная настройка через удаленную консоль.
Эксплуатируемая уязвимость CVE-2018-0171.
Обратите внимание, что вирус сканирует сети на предмет открытого порта TCP 4786.
Инфраструктура сети MSK-IX не затронута.
В качестве мер защиты возможно блокирование порта с помощью списков доступа или же отключение vstack (команда 'no vstack')
Как писали ранее, уязвимость получила идентификатор CVE-2018-0171 и 9,8 балла по шкале CVSS. Проблема основана на некорректной валидации пакетов в клиенте SMI (Cisco Smart Install). Проблема опубликована еще 28 марта, разработчики Cisco уже выпустили патчи для обнаруженного бага, после этого исследователи опубликовали и proof-of-concept эксплоит.
Похоже в пятницу вечером какие-то «веселые ребята» решили применить свой ботнет для скана портов в поисках открытого TCP 4786 и дальнейшей атаки на обнаруженные устройства.
Ранее писали про 8.5 млн устройств найденных с открытым портом и 250 тыс без патчей. Завтра к утру узнаем какой их процент в Рунете.
P.S.: Так как не считаю себя специалистом по безопасности Cisco, любые дополнения приветствуются в комментариях. Надеюсь они также помогут администраторам избежать атаки.
P.P.S.: Инфраструктура облака Zadarma не пострадала, но именно в это время мы заметили проблемы у некоторых телефонных операторов в Москве, возможно они были связаны с атакой.