Derzeit erfolgt eine starke Botnet-Angriff. Alle Internet-Adressen auf das Vorhandensein von frischem Schwachstellen in der Cisco IOS Software, um Remote Befehle auf Cisco-Geräten. Der bot kommt auf das Gerät und löscht die Konfiguration, indem Sie stattdessen auf Ihre Dateien.
Die Sicherheitslücke hat die id CVE-2018-0171 und erzielte 9,8 Punkte auf einer Skala von CVSS. Wenn Sie gerade Internet ausgeschaltet oder schaltet sich in Kürze, dann mit hoher Wahrscheinlichkeit ist dies aufgrund der oben beschriebenen Sicherheitsanfälligkeit. Die Probleme der Arbeit Netze sind bereits jetzt. Darunter auch bei der Mannschaft Hi-News.ru.
Ein Team von Cisco veröffentlichte eine Meldung, Wonach Hunderttausende von Geräten im Netzwerk anfällig Dank der Technologie Smart Install. Das Unternehmen warnte Objekte der kritischen Infrastruktur über die Risiken der Nutzung der betroffenen Geräte.
Technologie Smart Install-automatisiert den Prozess der Ersteinrichtung Konfiguration und Download des aktuellen images des Betriebssystems für den neuen Netzwerkswitch.
Über das Problem der Burst-Scans in einem Versuch zu entdecken ungeschützten Geräte, auf denen aktiviert Smart Install, Cisco berichtete noch im Februar des vergangenen Jahres. Damals hieß es, dass die Hacker-Gruppierung Smart Install können weitere Kopien der Konfigurationen der betroffenen Geräte der Kunden. Darüber hinaus wurde berichtet, dass die Angreifer verwendeten Open-Source-Werkzeug für das Scannen bei der Suche nach verwundbaren Systemen. Das Tool heißt Smart Install Exploitation Tool (SIET).
Nun, Cisco hat mit der neue Aussage:
«Cisco auf dem Laufenden deutliches Wachstum der Anzahl der versuche zu Scannen auf der Suche nach verwundbaren Geräten mit aktivierter Smart Install. Im Ergebnis erfolgreichen Angriff kann ein Angreifer die Konfigurationsdatei ändern, erzwingt das Gerät neu zu starten, laden Sie ein neues Bild auf das Gerät IOS, CLI-Befehle ausführen mit höheren rechten».
Nach Meinung der Experten, einige dieser Angriffe wurden von der Gruppierung, bekannt als Dragonfly, Crouching Yeti und Energetic Bear. In diesem Zusammenhang Administratoren sollten so schnell wie möglich das Update zu installieren oder in den Einstellungen Ihres Geräts deaktivieren SMI-Technologie, die speziell für die Automatisierung der Erstkonfiguration und dem Download der Firmware für neue Switches.
Problem ist darauf zurückzuführen, dass viele Besitzer nicht einstellen oder keinen Einfluss auf das Protokoll der SMI und der Kunde weiterhin erwarten Befehle «Setup/Einstellungen» im hintergrund. Durch diese Sicherheitsanfälligkeit kann ein Angreifer möglicherweise die Einstellungen für den TFTP-Server und extrahieren Sie die Konfigurationsdateien über TFTP, verändern das gesamte Switch-Konfigurationsdatei, ersetzen Bild von IOS, lokale Konten zu erstellen und bieten dem Angreifer die Möglichkeit, auf dem Gerät einloggen und beliebige Befehle ausführen.
Für eine Schwachstelle dem Angreifer, müssen Sie auf TCP-Port 4786, die standardmäßig geöffnet. Es wird berichtet, dass das Problem verwendet werden kann und als DoS-Angriff, was sich die betroffenen Geräte in einer Endlosschleife Neustarts.
Laut Cisco Talos, derzeit im Netz verfügbar ist 168 tausend Switches mit Unterstützung für SMI. Doch nach Angaben der analytischen Gruppe Embedi insgesamt im Internet entdeckt, die mehr als 8,5 Millionen Geräte mit einem offenen Port 4786, und Patches, wodurch eine kritische Sicherheitslücke, die nicht installiert sind um etwa 250 000 von Ihnen.
Analysten Embedi Tests durchgeführt, Schwachstellen auf den Geräten Catalyst 4500 Supervisor Engine, sowie die Switches der Serien Cisco Catalyst 3850 und Cisco Catalyst 2960, aber wahrscheinlich geht es um die Gefährdung aller Geräte, die auf Smart Install, und zwar über:
- Catalyst 4500 Supervisor Engines;
- Catalyst 3850 Series;
- Catalyst 3750 Series;
- Catalyst 3650 Series;
- Catalyst 3560 Series;
- Catalyst 2960 Series;
- Catalyst 2975 Series;
- IE 2000;
- IE 3000;
- IE 3010;
- IE 4000;
- IE 4010;
- IE 5000;
- SM-ES2-SKUs;
- SM-ES3 SKUs;
- NME-16ES-1G-P;
- SM-X-ES3 SKUs.
Ein Team von Cisco veröffentlichte eine Reihe von Anweisungen für Administratoren zur Deaktivierung des Protokolls auf betroffenen Geräten sowie ein Tool zum Scannen für lokale Netzwerke oder das Internet für die Suche nach verwundbaren Geräten.
Schwachstelle in Cisco IOS verließ Benutzer ohne Internet
Nikolai Hizhnyak