Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Notiek uzbrukums Cisco tīkla komutatoriem (papildināts)

Notiek uzbrukums Cisco tīkla komutatoriem (papildināts)

Ja jūs tagad novērojat, ka pēķšņi nav pieejams kaut kāds interneta resurss, tad šobrīd ar lielu varbūtību tā var arī nebūt parasta tehniska kļūme. Kaspersky Lab ziņo, ka notiek masīvs uzbrukums Cisco tīkla komutatoriem, kas tiek izmantoti ļoti plaši.

 

 

Bots medī Cisco

Šķiet, ka uzbrukums notiek aptuveni tā. Kāds grupējums izmanto ievainojamību programmatūrā Cisco Smart Install Client, lai iegūtu iespēju izpildīt ierīcē brīvi izvēlētu kodu. Ļaundari pārraksta Cisco IOS sistēmas tēlu un maina konfigurācijas failu, atstājot tajā vēstījumu “Do not mess with our elections” (Neiejaucieties mūsu vēlēšanās).

Šķiet, ka uzbrukumam tiek izmantots bots, kas skenē caur lietu interneta meklētāju Shodan vai pat caur Cisco utilītprogrammu, lai atklātu ievainojamas iekārtas. Tas atrod kārtējo ievainojamo tīkla komutatoru un pārraksta konfigurāciju, izsitot no ierindas tīkla segmentu. Rezultātā veseli datu centri kļūst nepieejami.

 

Pēc Cisco Talos datiem, pasaulē ir vairāk kā 168 000 ierīču, kas satur šo ievainojamību. Uzbrukuma apjoms pagaidām nav pilnībā skaidrs, bet tas var būt ļoti ievērojams. Spriežot pēc visa, uzbrucēji pamatā uzbrūk krievvalodīgajam interneta segmentam, lai gan ir cietuši arī citi. Šobrīd uzbukums tiek pētīts un par to būs papildus informācija.

Ko ar to darīt administratoriem?

Sākotnēji funkcija Smart Install bija iecerēta kā rīks, kas atvieglos darbu administratoriem. Tā ļauj konfigurēt ierīci un attālināti augšupielādēt tajā sistēmas tēlu. Tas ir, jūs uzstādāt iekārtas objektā un iestatījumus veicat no centrālā biroja — to sauc par Zero Touch Deployment. Lai tas notiktu, iekārtās jādarbojas Smart Install Client un jābūt atvērtam portam TCP 4786 (pēc noklusējuma Smart Install ir ieslēgts un minētais ports atvērts).

Smart Install protokols neuztur autentifikāciju, tāpēc tas ir atklāts jautājums, vai to saukt par ievainojamību. Cisco, piemēram, tā neuzskata. Viņi to sauc par ļaunprātīgu protokola izmantošanu. Pēc būtības tā ir datu centru problēma, kuri neierobežo pieeju portam TCP 4786 vai nav atslēguši Smart Install vispār.

Lai pārbaudītu, vai jūsu iekārtās darbojas Smart Install, komutatorā var izpildīt komandu show vstack config. Ja atbilde parādīs, ka Smart Install ieslēgts, tad tiek ieteikts to atslēgt ar komandas no vstack palīdzību.

Dažos operētājsistēmas izlaidumos šī atslēgšana strādās līdz pirmajai pārlādei (komutatoros no sērijas Cisco Catalyst 4500 un 4500-X pie OS 3.9.2E/15.2(5)E2; komutatoros Cisco Catalyst 6500 pie sistēmas versijām 15.1(2)SY11, 15.2(1)SY5 un 15.2(2)SY3; komutatoros Cisco Industrial Ethernet 4000 pie versijām 15.2(5)E2 un 15.2(5)E2a; kā arī komutatoros Cisco ME 3400 un ME 3400E pie versijas 12.2(60)EZ11. Uzzināt OS versiju var, izpildot komandu show version). Tādos gadījumos tiek ieteikts nomainīt versiju vai automatizēt no vstack komandas izpildi.

Ja jūsu biznesa procesi neatļauj atslēgt Smart Install vai arī jūsu sistēmas versijā nav nav komandas no vstack (tas ir iespējams, jo tā tika pievienota ar vienu no ielāpiem), tad nāksies ierobežot pieslēgšanos portam 4786. Cisco iesaka to darīt, izmantojot interfeisa pieejas sarakstus tā, lai ar šo portu varētu sazināties tikai uzticamas ierīces (piemērā tai ir adrese 10.10.10.1). Piemērs:

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

Ar detalizētāku informāciju par šo problēmu var iepazīties šeit.

Pirmā uzstāšanās par Smart Install ekspluatāciju (krievu val.) ir bijusi konferencē Zeronights 2016.

Birkas:
Iepriekšējais raksts
Nākošais raksts

1 Komentāri

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

58 + = 60

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu