Уязвимость в коммутаторах Cisco используется для атак на объекты КИ по всему миру. Некоторые из атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear.
Хакерские группировки используют уязвимость в коммутаторах Cisco с поддержкой технологии SMI (Smart Install) для атак на объекты критической инфраструктуры по всему миру, предупредили специалисты команды Cisco Talos.
Уязвимость в коммутаторах Cisco используется для атак на объекты КИ по всему миру. Некоторые из атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear.
Хакерские группировки используют уязвимость в коммутаторах Cisco с поддержкой технологии SMI (Smart Install) для атак на объекты критической инфраструктуры по всему миру, предупредили специалисты команды Cisco Talos.
По мнению экспертов, некоторые из этих атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear. В связи с этим администраторам рекомендуется как можно скорее установить обновление или отключить в настройках устройства технологию SMI, предназначенную для автоматизации начальной настройки и загрузки прошивки для новых коммутаторов.
Проблема связана с тем, что многие владельцы не настраивают или не отключают протокол SMI, и клиент продолжает ожидать команд «установки\настройки» в фоновом режиме. Воспользовавшись уязвимостью, злоумышленник может модифицировать настройки TFTP-сервера и извлечь конфигурационные файлы через протокол TFTP, изменить общий конфигурационный файл коммутатора, заменить образ ОС IOS, создать локальные учетные записи и предоставить возможность атакующим авторизоваться на устройстве и выполнить любые команды.
Первые случаи эксплуатации данной уязвимости Cisco зафиксировала в феврале 2017 года, тогда же начались попытки сканирования на предмет уязвимых устройств (с открытым по умолчанию портом 4786), случаи сканирования участились в октябре того же года и удвоились в феврале 2018 года после того, как компания опубликовала еще одно предупреждение о данной уязвимости.
По данным Cisco Talos, в настоящее время в Сети доступно 168 тыс. коммутаторов с поддержкой SMI. Команда опубликовала ряд инструкций для администраторов по отключению протокола на уязвимых устройствах, а также выпустила инструмент для сканирования локальных сетей или интернета на предмет уязвимых устройств.
Специалисты отметили, что вышеописанная проблема не имеет отношения к другой уязвимости (CVE-2018-0171), обнаруженной в протоколе Smart Install.
Есть информация в Сети, что отключение vstack не помогает.
Используйте ACL для блокировки.
Поскольку не использую vstack, то настройка защиты от уязвимости на примере Cisco Catalyst 3750 выглядит примерно так:
sw1#configure terminal sw1(config)#ip access-list extended SMI_HARDENING_LIST sw1(config-ext-nacl)#deny tcp any any eq 4786 sw1(config-ext-nacl)#permit ip any any sw1(config-ext-nacl)#exit sw1(config)#interface Vlan1241 sw1(config-if)#ip access-group SMI_HARDENING_LIST in sw1(config-if)#exit sw1(config)#exit sw1#copy running-config startup-config
рабочий эксплоит на github уже 7 месяцев - https://github.com/Sab0tag3d/SIET
Вы должны войти