`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Зафиксирована массированная атака на сетевое оборудование Cisco

0 
 
Зафиксирована массированная атака на сетевое оборудование Cisco

«Лаборатория Касперского» сообщила о массивной атаке на свитчи Cisco, которые используются в дата-центрах практически повсеместно. По предположению компании, некая группировка использует уязвимость в программе под названием Cisco Smart Install Client, чтобы получить возможность исполнять произвольный код на устройстве. Злоумышленники перезаписывают образ системы Cisco IOS и меняют конфигурационный файл, оставляя в нем послание «Do not mess with our elections» («Не вмешивайтесь в наши выборы»).

Похоже, что для атаки используется бот, сканирующий через поисковик интернета вещей Shodan или даже через собственную утилиту Cisco устройства на предмет наличия этой уязвимости и эксплуатирующий ее. Он находит очередной уязвимый свитч, переписывает конфигурацию и выводит из строя сегмент сети. В результате целые дата-центры оказываются недоступными, что приводит и к недоступности многих популярных сайтов.

По данным Cisco Talos, в мире насчитывается более 168 000 устройств, подверженных этой уязвимости. Масштабы атаки пока не полностью ясны, но они могут быть очень серьезными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент Интернета, но не ограничиваются им.

Изначально, функция Smart Install задумывалась как инструмент, который облегчает жизнь администраторам. Она позволяет конфигурировать устройство и заливать на него образ системы удаленно. То есть устанавливаете на объекте оборудование и настраиваете все из центрального офиса — это называется Zero Touch Deployment. Для этого на нем должен работать Smart Install Client и должен быть открыт порт TCP 4786 (а по умолчанию все так и есть: Smart Install включен, порт открыт).

Протокол Smart Install изначально не поддерживает аутентификацию, поэтому еще вопрос, корректно ли называть это уязвимостью. Cisco, например, так не считает. Они называют это злонамеренным использованием протокола. По-сути это проблема датацентров, которые не ограничили доступ к TCP порту 4786 или не выключили Smart Install вовсе.

Для того, чтобы проверить, работает ли на вашем оборудовании Smart Install, можно исполнить на свитче команду show vstack config. Если ответ покажет, что Smart Install включен, то рекомендуется отключить его при помощи команды no vstack.

В некоторых релизах операционной системы это отключение будет работать до первой перезагрузки (в свитчах серий Cisco Catalyst 4500 и 4500-X при ОС 3.9.2E/15.2(5)E2; в свитчах Cisco Catalyst 6500 при версиях системы 15.1(2)SY11, 15.2(1)SY5 и 15.2(2)SY3; в свитчах Cisco Industrial Ethernet 4000 при версиях 15.2(5)E2 и 15.2(5)E2a; а также в свитчах Cisco ME 3400 и ME 3400E при версии 12.2(60)EZ11. Узнать версию используемой ОС можно, исполнив команду show version). В таком случае рекомендуется сменить версию или автоматизировать выполнение команды no vstack.

Если ваши бизнес-процессы не позволяют отключить Smart Install или в вашей версии системы нет команды no vstack (а такое может быть — она была добавлена одним из патчей), то придется ограничить подключения к порту 4786. Cisco рекомендует делать это при помощи листов контроля доступа к интерфейсу — так, чтобы по этому порту могло общаться только доверенное устройство (в примере оно находится по адресу 10.10.10.1).

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT