Прямо сейчас все адреса в интернете сканирует бот, который использует свежую уязвимость (https://embedi.com/blog/cisco-smart-install-remote-code-execution/) в Cisco IOS, позволяющую удалённо выполнить команду на устройстве Cisco.
Похоже, что для атаки используется бот, сканирующий через поисковик интернета вещей Shodan или даже через собственную утилиту Cisco устройства на предмет наличия этой уязвимости и эксплуатирующий ее. Нашел очередной уязвимый коммутатор, переписал конфигурацию – вывел из строя сегмент сети. В результате целые дата-центры оказываются недоступными, что приводит и к недоступности многих популярных сайтов.
По данным Cisco Talos, в мире насчитывается более 168 000 устройств, подверженных этой уязвимости. Масштабы атаки пока не полностью ясны, но они могут быть очень серьезными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент Интернета, хотя и другим явно тоже досталось.
Дополнительные источники информации: Cisco, Talos, CVE.
Что можно сделать сейчас для защиты и диагностики возможных проблем связанных с уязвимостью CVE-2018-0171.
Хотелось бы обратить внимание на важный момент, команда «no vstack» работает только на ПО вышедшем после обнаружения уязвимости, в случае старого ПО команда будет просить дополнительный аргумент, например «no vstack conf».
Если Smart Install выключен, то вывод «sh vstack conf» будет примерно следующим:
Не работает «no vstack» — обновите ПО.
Не используете Smart Install, закройте TCP 4786.
IPv4: 208.67.222.222, 208.67.220.220
IPv6: 2620:119:35::35, 2620:119:53::53
IPv4: 208.91.112.53, 208.91.112.52
IPv4: 77.88.8.88, 77.88.8.2
IPv6: 2a02:6b8::feed:bad, 2a02:6b8:0:1::feed:bad
IPv4: 8.8.8.8, 8.8.4.4
IPv6: 2001:4860:4860::8888, 2001:4860:4860::8844
IPv4: 1.1.1.1, 1.0.0.1
IPv6: 2606:4700:4700::1111, 2606:4700:4700::1001
Private DNS: 1dot1dot1dot1.cloudflare-dns.com
Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на брандмауэрах Fortigate.
config firewall address
edit «azure-network»
set subnet 10.0.111.0 255.255.255.0
next
edit «internal»
set subnet 192.168.111.0 255.255.255.0
next
end
config vpn ipsec phase1-interface
edit «Azure»
set interface «port1»
set ike-version 2
set nattraversal disable
set keylife 56600
set proposal aes256-sha256
set dhgrp 2
set remote-gw 52.1.2.3
set psksecret key123key123key123
next
end
config vpn ipsec phase2-interface
edit «Azure»
set phase1name «Azure»
set proposal aes256-sha256
set dhgrp 14
set keepalive enable
set auto-negotiate enable
set src-addr-type name
set dst-addr-type name
set keylifeseconds 7200
set src-name «internal»
set dst-name «azure-network»
next
end
config system interface
edit «Azure»
set tcp-mss 1350
next
end
config router static
edit 2
set dst 10.0.111.0 255.255.255.0
set device «Azure»
next
end
Где:
port1 — интерфейс wan который будет инициализировать туннель
52.1.2.3 — адрес шлюза на стороне сервис провайдера
key123key123key123 — предварительный общий ключ
10.0.111.0 — локальная сеть на стороне сервис провайдера
192.168.111.0 — локальная сеть на вашей стороне
Кроме того, не забудьте настроить правила доступа (firewall rules), иначе туннель не будет работать (не поднимется). Пример можно посмотреть здесь.
Пример настройки Site-to-Site туннеля до сервис провайдера Облакотека на маршрутизаторах Cisco 4000 (4221, 4321, 4331, 4351, 4431, 4451) серии.
!
crypto ikev2 proposal CLOUD
encryption aes-cbc-128
integrity sha256
group 2
!
crypto ikev2 policy CLOUD
proposal CLOUD
!
crypto ikev2 keyring CLOUD
peer CLOUD
address 37.1.2.3
pre-shared-key key123key123key123
!
crypto ikev2 profile CLOUD
match address local 195.1.2.3
match identity remote address 37.1.2.3 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local CLOUD
!
crypto ipsec transform-set CLOUD esp-aes esp-sha256-hmac
mode tunnel
!
crypto ipsec profile CLOUD
set transform-set CLOUD
set pfs group14
set ikev2-profile CLOUD
!
interface Tunnel1015
description — To CLOUD —
ip vrf forwarding Intranet
ip address 10.10.230.1 255.255.255.252
ip tcp adjust-mss 1350
tunnel source 195.1.2.3
tunnel mode ipsec ipv4
tunnel destination 37.1.2.3
tunnel protection ipsec profile CLOUD
!
ip route vrf Intranet 192.168.150.0 255.255.255.0 Tunnel1015
!
Где:
37.1.2.3 — адрес шлюза на стороне сервис провайдера
195.1.2.3- адрес локального маршрутизатора
key123key123key123 — предварительный общий ключ
192.168.150.0 — локальная сеть на стороне сервис провайдера
В данном пример используется vrf интерфейс, вы же можете использоваться любой другой, например GigabitEthernet0/0/0
Выше приведены настройки IPSEC со стороны сервис провайдера.
Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на маршрутизаторах Cisco 4000 (4221, 4321, 4331, 4351, 4431, 4451) серии.
!
crypto ikev2 proposal AZURE
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy AZURE
proposal AZURE
!
crypto ikev2 keyring AZURE
peer AZURE
address 52.1.2.3
pre-shared-key key123key123key123
!
crypto ikev2 profile AZURE
match address local 195.1.2.3
match identity remote address 52.1.2.3 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local AZURE
!
crypto ipsec transform-set AZURE esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profile AZURE
set transform-set AZURE
set ikev2-profile AZURE
!
interface Tunnel1016
description — To AZURE —
ip vrf forwarding Intranet
ip address 10.10.230.4 255.255.255.252
ip tcp adjust-mss 1350
tunnel source 195.1.2.3
tunnel mode ipsec ipv4
tunnel destination 52.1.2.3
tunnel protection ipsec profile AZURE
!
ip route vrf Intranet 192.168.160.0 255.255.255.0 Tunnel1016
!
Где:
52.1.2.3 — адрес шлюза на стороне сервис провайдера
195.1.2.3 — адрес локального маршрутизатора
key123key123key123 — предварительный общий ключ
192.168.160.0 — локальная сеть на стороне сервис провайдера
В данном пример используется vrf интерфейс, вы же можете использоваться любой другой, например GigabitEthernet0/0/0
Таблица со значениями PIN-кодов (паролей) по умолчанию:
| Пользователя | Администратора | |
| JaCarta PKI | 11111111 | 00000000 |
| JaCarta ГОСТ | не задан | 1234567890 |
| JaCarta LT | 1234567890 | не задан |
| eToken PRO Java | 1234567890 | не задан |
| eToken ГОСТ | не задан | 1234567890 |
В случае «комбинированной» модели, например, JaCarta PKI/ГОСТ используются пароли по умолчанию для каждого из апплетов. Исключение составляет JaCarta PKI/ГОСТ SE: PIN-код пользователя ГОСТ-апплета: 0987654321, остальные пароли стандартные.
Согласно гида для администраторов заводской (по умолчанию) пароль 2 7 2 3 8.
Слово Craft (для удобства запоминания).
Работает для всей серии 16й серии IP телефонов Avaya (1603, 1608, 1616 и т.д.)
Обновил свой Windows 10 до версии 1607 (Anniversary Update) и у меня перестал запускаться Fallout 4 (Steam редакция).
Симптомы — запускается Launcher (стартовое окно с выбором опций запуска), выбираю Играть (Play), запускается приложение и вылетает на рабочий стол (без объяснения причин).
Решение — установка режима совместимости «Windows 8» для приложений Fallout4 и Fallout4Launcher, находящихся в «X:\Program Files (x86)\Steam\SteamApps\common\Fallout 4».
После установки обновления tvOS 9.2 на Apple TV 4го поколения, пропала возможность проигрывания фильмов из магазина Apple iTunes, на экране появляется сообщение «Неизвестная ошибка» и кнопка «OK».
Весь остальной функционал не затронут, например, приложения работают и проигрываю контент.
Симптомы:
Неизвестная ошибка в фильмах на Apple TV 4го поколения
Unknown error in films on Apple TV 4th after last update
Решение:
Переключите интерфейс с Русского на English без смены формата региона.
Дополнительно можно сделать logout с учетной записи iTunes с выбором забыть все сохраненные учетные данные.
В самом крайнем случае делается полный сброс, но тогда придется ставить приложения вновь.
Перезагрузка после каждого из этапов будет полезна.
Я начал с очистки учетных записей, не помогло, переключил интерфейс на English после этого показ заработал.
Дискуссия на форуме Apple доступна здесь.
