7 April 2018

Массированная атака на Cisco

Zadarma corporate blogInformation SecurityCisco
Сегодня (в пятницу) вечером дважды получили уведомление о атаке на маршрутизаторы Cisco. В результате успешной атаки удаляется конфигурация.

Runet Cisco attack

Надеюсь данная информация из рассылки IX будет полезна:
Вынуждены обратить Ваше внимание, что в настоящий момент в сети проявляет особую активность ботнет, который заражает устройства компании Cisco.

По имеющимся у нас данным в результате действия этого вируса удаляется полностью конфигурация сетевого устройства и необходима повторная настройка через удаленную консоль.

Эксплуатируемая уязвимость CVE-2018-0171.

Обратите внимание, что вирус сканирует сети на предмет открытого порта TCP 4786.

Инфраструктура сети MSK-IX не затронута.

В качестве мер защиты возможно блокирование порта с помощью списков доступа или же отключение vstack (команда 'no vstack')
При повторном сообщении, через час, дополнили информацию о готовности помочь пострадавшим участникам оперативно получить консоль к роутерам (значит их количество не 0 и не 1).

Как писали ранее, уязвимость получила идентификатор CVE-2018-0171 и 9,8 балла по шкале CVSS. Проблема основана на некорректной валидации пакетов в клиенте SMI (Cisco Smart Install). Проблема опубликована еще 28 марта, разработчики Cisco уже выпустили патчи для обнаруженного бага, после этого исследователи опубликовали и proof-of-concept эксплоит.
Похоже в пятницу вечером какие-то «веселые ребята» решили применить свой ботнет для скана портов в поисках открытого TCP 4786 и дальнейшей атаки на обнаруженные устройства.

Ранее писали про 8.5 млн устройств найденных с открытым портом и 250 тыс без патчей. Завтра к утру узнаем какой их процент в Рунете.

P.S.: Так как не считаю себя специалистом по безопасности Cisco, любые дополнения приветствуются в комментариях. Надеюсь они также помогут администраторам избежать атаки.

P.P.S.: Инфраструктура облака Zadarma не пострадала, но именно в это время мы заметили проблемы у некоторых телефонных операторов в Москве, возможно они были связаны с атакой.
Tags:cisco dos security
Hubs: Zadarma corporate blog Information Security Cisco
+14
20.7k 26
Comments 13