Некорректная настройка Cisco с SMI (Smart Install)
Уязвимость в коммутаторах Cisco используется для атак на объекты КИ по всему миру. Некоторые из атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear.

Хакерские группировки используют уязвимость в коммутаторах Cisco с поддержкой технологии SMI (Smart Install) для атак на объекты критической инфраструктуры по всему миру, предупредили специалисты команды Cisco Talos.

По мнению экспертов, некоторые из этих атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear. В связи с этим администраторам рекомендуется как можно скорее установить обновление или отключить в настройках устройства технологию SMI, предназначенную для автоматизации начальной настройки и загрузки прошивки для новых коммутаторов.

Проблема связана с тем, что многие владельцы не настраивают или не отключают протокол SMI, и клиент продолжает ожидать команд «установки\настройки» в фоновом режиме. Воспользовавшись уязвимостью, злоумышленник может модифицировать настройки TFTP-сервера и извлечь конфигурационные файлы через протокол TFTP, изменить общий конфигурационный файл коммутатора, заменить образ ОС IOS, создать локальные учетные записи и предоставить возможность атакующим авторизоваться на устройстве и выполнить любые команды.

Первые случаи эксплуатации данной уязвимости Cisco зафиксировала в феврале 2017 года, тогда же начались попытки сканирования на предмет уязвимых устройств (с открытым по умолчанию портом 4786), случаи сканирования участились в октябре того же года и удвоились в феврале 2018 года после того, как компания опубликовала еще одно предупреждение о данной уязвимости.

По данным Cisco Talos, в настоящее время в Сети доступно 168 тыс. коммутаторов с поддержкой SMI. Команда опубликовала ряд инструкций для администраторов по отключению протокола на уязвимых устройствах, а также выпустила инструмент для сканирования локальных сетей или интернета на предмет уязвимых устройств.

Специалисты отметили, что вышеописанная проблема не имеет отношения к другой уязвимости (CVE-2018-0171), обнаруженной в протоколе Smart Install.
muff
2018-04-07 11:19:15
Avatar

Есть информация в Сети, что отключение vstack не помогает.

Используйте ACL для блокировки.

 

Поскольку не использую vstack, то настройка защиты от уязвимости на примере Cisco Catalyst 3750 выглядит примерно так:

sw1#configure terminal
sw1(config)#ip access-list extended SMI_HARDENING_LIST
sw1(config-ext-nacl)#deny tcp any any eq 4786
sw1(config-ext-nacl)#permit ip any any
sw1(config-ext-nacl)#exit
sw1(config)#interface Vlan1241
sw1(config-if)#ip access-group SMI_HARDENING_LIST in
sw1(config-if)#exit
sw1(config)#exit
sw1#copy running-config startup-config

 

Дмитро
2018-04-07 12:12:19
Avatar

 

Sоrk
2018-04-07 22:36:24
Avatar

рабочий эксплоит на github уже 7 месяцев - https://github.com/Sab0tag3d/SIET

Вы должны войти

loading