Атака Cisco Smart Install порядок действий для защиты

Прямо сейчас все адреса в интернете сканирует бот, который использует свежую уязвимость (https://embedi.com/blog/cisco-smart-install-remote-code-execution/) в Cisco IOS, позволяющую удалённо выполнить команду на устройстве Cisco.

Похоже, что для атаки используется бот, сканирующий через поисковик интернета вещей Shodan или даже через собственную утилиту Cisco устройства на предмет наличия этой уязвимости и эксплуатирующий ее. Нашел очередной уязвимый коммутатор, переписал конфигурацию – вывел из строя сегмент сети. В результате целые дата-центры оказываются недоступными, что приводит и к недоступности многих популярных сайтов.

По данным Cisco Talos, в мире насчитывается более 168 000 устройств, подверженных этой уязвимости. Масштабы атаки пока не полностью ясны, но они могут быть очень серьезными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент Интернета, хотя и другим явно тоже досталось.

Дополнительные источники информации: Cisco, Talos, CVE.

Что можно сделать сейчас для защиты и диагностики возможных проблем связанных с уязвимостью CVE-2018-0171.

  • Провести анализ подверженности своего оборудования вышеописанным уязвимостям. Сверить версии ПО для платформ с официально рекомендованными производителем как неуязвимые.
  • Провести анализ наличия взломанных устройств, фактов несанкционированного изменения конфигураций либо состояния устройств. Восстановить продуктивную конфигурацию, сменить пароли и ключи.
  • Отключить функционал Cisco Smart Install командой «no vstack».
  • Удалить пользователя по умолчанию «cisco».
  • Ограничить обработку пакетов с dst port UDP 18999, если dst ip принадлежит устройству.
  • Настроить мониторинг оборудования на предмет:
    — активации Cisco Smart Install (vstack) и порта TCP 4786;
    — активации порта UDP 18999 в системе (listening);
    — появления пользователя «cisco» в конфигурации.

Хотелось бы обратить внимание на важный момент, команда «no vstack» работает только на ПО вышедшем после обнаружения уязвимости, в случае старого ПО команда будет просить дополнительный аргумент, например «no vstack conf».

Если Smart Install выключен, то вывод «sh vstack conf» будет примерно следующим:

Не работает «no vstack» — обновите ПО.
Не используете Smart Install, закройте TCP 4786.

Запись опубликована в рубрике Cisco, Security с метками . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.