Массированная атака на Cisco

    Сегодня (в пятницу) вечером дважды получили уведомление о атаке на маршрутизаторы Cisco. В результате успешной атаки удаляется конфигурация.

    Runet Cisco attack

    Надеюсь данная информация из рассылки IX будет полезна:
    Вынуждены обратить Ваше внимание, что в настоящий момент в сети проявляет особую активность ботнет, который заражает устройства компании Cisco.

    По имеющимся у нас данным в результате действия этого вируса удаляется полностью конфигурация сетевого устройства и необходима повторная настройка через удаленную консоль.

    Эксплуатируемая уязвимость CVE-2018-0171.

    Обратите внимание, что вирус сканирует сети на предмет открытого порта TCP 4786.

    Инфраструктура сети MSK-IX не затронута.

    В качестве мер защиты возможно блокирование порта с помощью списков доступа или же отключение vstack (команда 'no vstack')
    При повторном сообщении, через час, дополнили информацию о готовности помочь пострадавшим участникам оперативно получить консоль к роутерам (значит их количество не 0 и не 1).

    Как писали ранее, уязвимость получила идентификатор CVE-2018-0171 и 9,8 балла по шкале CVSS. Проблема основана на некорректной валидации пакетов в клиенте SMI (Cisco Smart Install). Проблема опубликована еще 28 марта, разработчики Cisco уже выпустили патчи для обнаруженного бага, после этого исследователи опубликовали и proof-of-concept эксплоит.
    Похоже в пятницу вечером какие-то «веселые ребята» решили применить свой ботнет для скана портов в поисках открытого TCP 4786 и дальнейшей атаки на обнаруженные устройства.

    Ранее писали про 8.5 млн устройств найденных с открытым портом и 250 тыс без патчей. Завтра к утру узнаем какой их процент в Рунете.

    P.S.: Так как не считаю себя специалистом по безопасности Cisco, любые дополнения приветствуются в комментариях. Надеюсь они также помогут администраторам избежать атаки.

    P.P.S.: Инфраструктура облака Zadarma не пострадала, но именно в это время мы заметили проблемы у некоторых телефонных операторов в Москве, возможно они были связаны с атакой.
    Zadarma
    Бесплатная облачная АТС, виртуальные номера

    Комментарии 13

      +6
      Говорят, что на ММТС-9 сегодня был сискоконнект афтепати:

        0
        Тут полный howto со всеми вытекающими давно был в .pdf
        И в твиттере не очень-то прятались: twitter.com/imedv
          +8
          Не знаю как насчет «Инфраструктура сети MSK-IX не затронута», но мы полностью потеряли нашу стойку на Профсоюзной/Бутлерова. Там где ранее был Демос, а теперь Релком.
          И надеюсь тут есть представители Релкома: Ребята, я понимаю у вас аншлаг, аврал и дикая проблема. Но шесть часов не отвечать на телефон и только через 4 часа ответить на созданный тикет фразой «Решаем». Это перебор. Это совсем дикий перебор. Держать крупного клиента в неведении. Поставить его в ситуацию когда наша аварийная смена не может выехать на место, так как там пропускной режим, а ввиду не возможности связаться с Релкомом, даже нельзя было заказать пропуск и приехать на объект. 7,5 часов downtime.
          Я тут просто напишу много-много матов. Спасибо.
            0

            Эта уязвимость известна с прошлого года, интересно кто держит свитчи мордой в интернет?

              0
              Те же кто и домашние веб камеры светит в интернет с базовым паролем
                0

                Как по мне, то так им и надо — это обычное разгильдяйство.

                +2
                Товарищ, представьте что вы оператор связи.
                Теперь представьте, что у вас статичная маршрутизация для клиентов.
                А теперь представьте, что некоторые клиенты пользуются белыми IP адресами.

                До сих пор ничего необычного, правда?, Ок, едем дальше, теперь будет вишенка.

                Все вторичные IP-интерфейсы, поднятые на коммутаторе Cisco для подключения таких клиентов — давали доступ к обсуждаемой уязвимости. Закрыть к ним доступ снаружи = закрыть Интернет для этих клиентов. Невероятно, но факт.

                Расскажите мне теперь про глупых ленивых админов, вываливающих интерфейсы управления мордой в интернет.
                  0
                  Уважаемый, если вы провайдер связи, вы обязаны держать свое оборудование под контролем, в том числе и в плане безопасности, а также в плане схем подключения. Если есть потенциальный риск, значит надо пересматривать эти схемы подключения, а не руководствоваться правилом — работает не трогай
                  0
                  Уважаемый VitamiNoZzZz, я писал слово «роутеры». Думаю вы знаете что у циски (и не только циски) во многих моделях весьма размыто понимание свич/роутер. Большинство железок умеют и то и другое.
                  Чистые L2 свичи думаю и не пострадали ни у кого.
                  0
                  В мой офис Инет «приходит» по витухе с крыши, затем в 10-долларовый 8-ми портовый неуправляемый свитч; из него по проксям/NAT-ам. Уверен, таким путём к 90% потребителям и заходит Инет. Думал под это дело нарезать отдельный VLAN в одном из SG-свитчей, который частью портов смотрит в LAN и таким образом избавиться от лишних соплей. После прочтения о данной уязвимости отпало всякое желание убрать неуправляемый свитч.
                    0
                    Если на вашем прокси/NAT реальный IP то никто никогда не гарантирует что на нем не появится подобного бага (на дешевом оборудовании даже больше шансов).
                    Так что защита и файрвол нужны всем. Разве только надеяться что ваш роутер никогда никому не будет интересен :)
                      0
                      Тогда уж сразу отключиться от Инета и одеть шапочку из фольги.
                        0
                        Намного удобней firewall чем шапочка.
                        В вашем случае VLAN в свиче который не имеет реального IP ничего не изменит по части безопасности от подобной атаки.
                        Но нужно будет следить за безопасностью его порта, например от мультикаст флуда который «случайно» может пройти через вашего провайдера (как было месяц назад в другой известной сети обмена трафиком).
                        Но на самом деле я-бы не советовал включать кабель с крыши в управляемый свич по другой причине, куда более банальной — гроза.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое