Ваша Cisco в зоне риска

05.04.2018 в 23:50 на сайте OpenNet была опубликована новость на тему критической уязвимости в некоторых моделях коммутаторов Cisco.
В новости шла речь об 0Day уязвимости CVE-2018-0171 в механизме SMI.
Данная уязвимость вызвана переполнением буфера в “Smart Install Client”, по поводу которого уже когда-то поднималась дискуссия на Хабре. Уязвимость даёт возможность, удалённо, сбросить пароль enable и получить доступ к выполнению команд (подробнее читайте в новости).

Самое интересное началось под вечер Пятницы 06.04.18 - в сети появился “Бот” который начал массовое сканирование Российского сегмента сети и массовый вывод из строя уязвимого оборудования Cisco.

Список кисок:
* Catalyst 4500 Supervisor Engines
* Catalyst 3850 Series
* Catalyst 3750 Series
* Catalyst 3650 Series
* Catalyst 3560 Series
* Catalyst 2960 Series
* Catalyst 2975 Series
* IE 2000
* IE 3000
* IE 3010
* IE 4000
* IE 4010
* IE 5000
* SM-ES2 SKUs
* SM-ES3 SKUs
* NME-16ES-1G-P
* SM-X-ES3 SKUs

Бот действовал довольно не затейливо:
1. Используя уязвимость, получал доступ к коммутатору
2. Стирал конфигурационный файл
3. перезагружал коммутатор

В результате этих действий, коммутатор полностью прекращал своё функционирование и восстановление зависело только от того, есть ли резервная копия конфигурации и насколько лёгок физический доступ к оборудованию. Учитывая что это вечер пятницы перед Пасхой, то время атаки было выбрано очень удачно :)

Некоторые администраторы докладывали о полном выходе из строя оборудования, до состояния “не грузится вообще, в консоли тишина”, но учитывая что эти сообщения единичные, то всё же скорее всего проблема не в самой атаке как таковой а в перезагрузке коммутатора - то есть если бы они самостоятельно перезагрузили коммутатор то получили бы тот же эффект, скорее всего имеет место повреждение Flash коммутатора (брак, износ и т.п., но точной информации так и нет).

Один из сотрудников Digital Security опубликовал в своём твиттере сообщение :)

Аншлаг на доступ к стойкам в ММТС-9

В данный момент атака всё ещё продолжается и скорее всего не ограничится территорией РФ, нас ждут увлекательные выходные. :)

UPD 07.04 11.00
Ещё один кандидат на “проскан” глобальной сети - RCE CVE-2018-0151 Cisco IOS and IOS XE Software Quality of Service Remote Code Execution Vulnerability Adaptive QoS for DMVPN, хоть и специфический сервис но всё же дырочка есть, найдётся и тот кто пользуется. ;)

Комментарии