Массовая атака на оборудование Cisco

    Коллеги, вчера началась и до сих пор продолжается мощная ботнет-атака. Все IP-адреса сканируются на предмет наличия свежей уязвимости в программном обеспечении Cisco IOS (CVE-2018-0171, CVSS=9,8), позволяющей удаленно выполнять команды на устройствах Cisco. Бот заходит на устройство и удаляет конфигурацию, записывая вместо нее свои файлы. Мы фиксируем попытки эксплуатации уязвимости с более ста разных адресов, из разных стран, и их пул продолжает расширяться.

    Разработчики Cisco уже выпустили патчи для обнаруженной уязвимости.

    Мы рекомендуем установить патчи как можно скорее. Под катом — уведомление, которое Solar JSOC рассылает клиентам, с деталями уязвимости и рекомендациями по противодействию.

    Проблема связана с некорректной валидацией пакетов в клиенте Cisco Smart Install (SMI). Воспользовавшись уязвимостью, злоумышленник может модифицировать настройки TFTP-сервера и извлечь конфигурационные файлы через протокол TFTP, изменить общий конфигурационный файл коммутатора, заменить образ ОС IOS, создать локальные учетные записи и предоставить возможность атакующим авторизоваться на устройстве и выполнить любые команды.
    Устройства Cisco, которые уязвимы к этой атаке:

    Catalyst 4500 Supervisor Engines
    Catalyst 3850 Series
    Catalyst 3750 Series
    Catalyst 3650 Series
    Catalyst 3560 Series
    Catalyst 2960 Series
    Catalyst 2975 Series
    IE 2000
    IE 3000
    IE 3010
    IE 4000
    IE 4010
    IE 5000
    SM-ES2 SKUs
    SM-ES3 SKUs
    NME-16ES-1G-P
    SM-X-ES3 SKUs
    Чаще всего, атака фиксируется на оборудовании провайдеров.

    Рекомендации:

    1. Отключить протокол SMI на сетевых устройствах (инструкция тут).
    2. Поставить последние обновления на уязвимые сетевые устройства.
    Ростелеком-Солар
    254.64
    Безопасность по имени Солнце
    Share post

    Comments 22

      +1
      Выходные перестали быть томными.
        +4
        Пятница, вечер — классика.
          0
          Вы бы в JSOC отключили мониторинг за вчера, а то задолбаются тикеты слать.
        +13
        Cisco могли бы в таком случае сами просканировать сеть и установить обновление, lol
          +1
          Статья в общем случае.
          0

          Я то думаю, что домашний Билайн приуныл…

            0

            аналогично… причем не только билайн, у меня приуныл синхронно с трех разных провайдеров… подумав, что не могут же "все шагать не в ногу", и пошел на всё домашнее апдейты накатывать… не помогло, конечно, но хотя бы поднял зад и сделал это… хоть такая польза )

            0
            в Питере вчера почти весь вечер лежали ISP Скайнэт (причем основательно так лежал, даже автоответчик службы саппорта не работал, тупо сбрасывал вызов) и известный ресурс Fontanka.ru, официально никто заявлений пока не делал, но может это и не совпадение.
            –1
            PCAP or it didn't happen
              +1

              Похоже, у кого-то была бессонная пятница… Или мрачное утро субботы))

                +3

                Судя по тому, что я слышал, "свежей" уязвимости толи год, толи полтора. А Cisco просто положила на нее. Никогда такого не было и вот опять.

                  0
                  мне кажется в мире не так много каталистов выставленных в интернет, а если у кого-то и есть, то, опять мне кажется, это провайдеры от падения которых пострадает не так уж много людей
                    0
                    Задал цискарям вопросы в соседней статье. Интересно, пройдёт ли тот коммент модерацию? Собственно вот он:

                    … Тогда у меня к Вам 3 вопроса:

                    1. Зачем надо было оставлять по умолчанию включённой никому не нужную, устаревшую и бажную фичу? Кому нужно — включил бы.

                    2. Где были вы с вашими рекомендациями раньше, например позавчера?

                    3. Эта уязвимость доступна не только через интерфейс управления, но и через любой вторичный интерфейс, коих на маршрутизирующем коммутаторе могут быть сотни и тысячи. Интерфейс управления был закрыт снаружи, только это не помогло. Поэтому заголовок Вашей статьи заведомо лукавый. Зачем Вы это делаете?
                      0
                      Злоумышленники перезаписывают образ системы Cisco IOS и меняют конфигурационный файл, оставляя в нем послание «Do not mess with our elections» («Не вмешивайтесь в наши выборы»).

                      Источник: каспер
                        0
                        Вчера не возможно было купить в Мск билеты через инет в половину кинотеатров… теперь понятно.
                          0
                          Какие альтернативы собственного производства.
                            0
                            Думал откликнутся специалисты. Прошелся по Янедексу, за 10 минут собрал следующее:

                            коммутаторы
                            plgn.ru/catalog/switches/kommutatory-gigabit-arlangesr
                            маршрутизаторы
                            eltex-co.ru/catalog/service_gateways/esr-1000

                            Я так думаю, если следить за производителями, то можно и лучше найти. Вроде бы не голые и босые. Ну там любителям адреналина рисковать конечно не запретишь.
                            0
                            На сколько мне известно, альтернативы цискам по функционалу есть и по ценам они демократичнее. Вот только есть еще и вопрос сертификации оборудования. И в РФ сертифицирована циска. Так что провайдеры может и рады бы использовать что-то иное, да только не могут по формальным причинам.
                              0
                              Нету такой сертификации. Есть сертификаты циско для своего кадрового состава :)

                              Циско вообще, кстати о птичках, по ГОСТу не сертифицирован, и по Российским законам его используют для сетей, а сеть это гос — проэкт, на котором не сертифицированные по ГОСТам изделия использовать это криминал, нелегально.

                              Мало того, ГОСТ для сетей предъявляет жесткие требования к защищенности продукта и доступу, которые нынешние Циски никогда не пройдут. А если пройдут, перестанут соответствовать требованиям проникновения вендора. Поскольку они несут двойственную функцию, одна из которых, проникновение и захват инфраструктуры в случае силового противостояния.

                              То есть они вообще никак не могут использоваться для сетей России.
                                0
                                Странно… А мне то представители некоторых особо государственных провайдеров как раз говорили, что циска по ГОСТу сертифицирована. Причем она единственная. Остальные (длинки и прочие хуавэи) нет. Потому и используется на всех значимых узлах, хотя технари с удовольствием бы чего другого понавтыкали.
                                Другое интересно: вот есть элементная база и даташиты, есть вполне доступный opensource софт. И специалисты даже встречаются. Только вот не видел пока ничего достойного и чтоб отечественного производства. Элтекс вроде какие-то железки клепает. Но имев несчастье купить их телеприставку однажды понял, что 1. Софт кривой (тормозит и глючит и даже не всякую клаву подключить можно, а только определенные модели) 2. Поддержка не торопится помогать клиентам и старается спихнуть вопрос по ПО на продавца 3. Железо не надежное (через 5 дней после окончания гарантии сгорела на ровном месте).
                                  0
                                  По поводу ГОСТ Вас неверно информировали.
                                  По остальному, циско здесь в США, специально для таких вот приставок и прочего ширпотреба, создал отдельные бренды, которые в витринах под видом дочерних компаний, но на самом деле делается из комплектующих второго и третьего сорта ( которые летят ОТК «в пределах» ). Тут дело в наклейках. Ну а глючит у всех.

                            Only users with full accounts can post comments. Log in, please.