För närvarande, en kraftfull botnet-attack. Alla Internet-adresser som ska genomsökas för förekomst av färska sårbarheter i mjukvaran Cisco IOS som gör att du på distans kan köra kommandon på Cisco-enheter. Bot går till enheten och ta bort konfigurationen, inspelning utan dess filer.
Sårbarheten har fått identifierare CVE-2018-0171 och fått 9.8 poäng på en skala från CVSS. Om du har bara stängt av Internet eller mindre i en nära framtid, då med stor sannolikhet är det i samband med ovan sårbarhet. Nätverkets prestanda observeras nu. Bland annat team Hi-News.ru.
Team Cisco publicerade en rapport enligt vilken hundratusentals enheter på Nätverket utsatta med Smart install (Installera). Företaget har varnat för kritisk infrastruktur om riskerna med att använda utsatta enheter.
Tekniken Smart Install kan du automatisera processen för inledande konfiguration och ladda ner det aktuella operativsystemet bilden för en ny nätverks-switch.
Om problemet burst skannar i ett försök att identifiera sårbara enheter som är aktiverade Smart Installera Cisco rapporterade i februari förra året. På den tiden var det sagt att hacker grupper kan använda Smart Install för att få kopior av de konfigurationer av berörda enheter kunder. Dessutom rapporterades det att angriparna använde verktyg med öppen källkod för skanning på jakt efter sårbara system. Detta verktyg kallas Smart Installera Utnyttjande Verktyg (GÅNGEN).
Nu, Cisco utfärdas ett nytt uttalande:
“Cisco är medvetna om en betydande ökning i antalet försök för att söka efter sårbara enheter med aktiverad Smart install (Installera). Som en följd av en framgångsrik attack en angripare kan ändra konfigurationsfilen, kraft starta om enheten för att ladda upp ny bild IOS, för att köra CLI-kommandon med den högsta rättigheter”.
Enligt experter, några av dessa attacker har utförts av en grupp som kallas Dragonfly, Hukande Yeti och Energisk Bära. I detta avseende, administratörer rekommenderas att installera uppdateringen eller inaktivera funktionen i inställningarna för SMI teknik som syftar till att automatisera den första installationen och hämta den inbyggda programvaran för den nya växlar.
Problemet är att många ägare inte justera eller stänga av SMI Protokoll och klienten fortsätter att vänta på kommandon i “inställningar/konfiguration” i bakgrunden. Med hjälp av sårbarhet, att en angripare kan ändra inställningarna på TFTP-servern och hämta konfiguration filer via TFTP, ändra Allmän konfigurationsfil växla, byta OS bilden IOS, för att skapa ett lokalt konto och för att ge en möjlighet för angriparen att logga in på enheten och köra något kommando.
För att utnyttja det säkerhetsproblem måste angriparen att kontakta TCP-port 4786 är öppen som standard. Det rapporteras att problemet kan användas som en DoS-attack, vilket de utsatta enheter i en oändlig loop av omstarter.
Enligt Cisco Talos, för närvarande finns 168 tusen växlar som stöd SMI. Men enligt analysgruppen Embedi totalt, Internet upptäckte mer än 8,5 miljoner enheter med en öppen port 4786, och den patch som löser en kritisk sårbarhet är inte etablerat cirka 250 000 av dem.
Analytiker Embedi bedrivs penetrationstester på enheter Catalyst 4500 Handledare Motorn och byta serie Cisco Catalyst 3850 och Cisco Catalyst 2960, men han var nog tala om sårbarheten i alla enheter som kör på Smart Install, nämligen:
- Catalyst 4500 Handledare Motorer.
- Catalyst 3850-Serie.
- Catalyst 3750-Serie.
- Katalysator 3650-Serie.
- Catalyst 3560-Serie.
- Catalyst 2960-Serie.
- Katalysator 2975-Serie.
- DVS 2000;
- DVS 3000;
- DVS 3010;
- DVS 4000;
- DVS 4010;
- DVS 5000;
- SM-ES2 Sku;
- SM-ES3 Sku;
- NME-16ES-1G-P;
- SM-X-ES3 Sku: er.
Team Cisco har publicerat en serie instruktioner till administratörer för att inaktivera Protokoll på utsatta enheter, och även släppt ett verktyg för att skanna lokala nätverk eller Internet för att söka efter sårbara enheter.
Säkerhetsproblem i Cisco IOS vänster användare utan Internet
Nikolai Khizhnyak