Атака на коммутаторы Cisco

6 апреля по всему миру были зафиксированы массовые атаки на коммутаторы Cisco IOS. Атаки привели к сбою в работе некоторых интернет-провайдеров, дата-центров и веб-сайтов. В основном атакам подверглись организации России и Ирана. Среди компаний, подвергшихся атакам, есть и объекты критической инфраструктуры.

Для реализации атаки злоумышленники использовали уязвимость CVE-2018-0171 в программном обеспечении Cisco Smart Install Client. Эксплуатация этой уязвимости дает возможность исполнять произвольный код на устройстве. Проблема связана с тем, что многие владельцы не настраивают или не отключают протокол SMI (Smart Install), и клиент продолжает ожидать команд конфигурирования в фоновом режиме.

Данная брешь была обнаружена компанией Cisco 28 марта 2018 года. По результатам исследований команды Cisco Talos, в мире насчитывается более 168 000 потенциально подверженных ей устройств. Первые случаи эксплуатации данной уязвимости наблюдались в феврале 2017 года.

Согласно данным «Лаборатории Касперского», для атаки использовался специальный бот, который обнаруживает уязвимые устройства, перезаписывает на них образ системы Cisco IOS и меняет конфигурационный файл. В результате этого устройство становится недоступным.

Для защиты от подобной атаки рекомендуется как можно скорее установить предоставленные производителем обновления или отключить в настройках устройства технологию SMI. Кроме того, следует ограничить доступ к 4786 TCP-порту.

Источники: Cisco, «Лаборатория Касперского»