Uwaga na błędy w switchach Cisco, używane własnie w atakach na Iran i Rosję

dodał 7 kwietnia 2018 o 16:02 w kategorii Błędy, Złośniki  z tagami:
Uwaga na błędy w switchach Cisco, używane własnie w atakach na Iran i Rosję

Docierają do nas sygnały o trwających właśnie atakach na switche Cisco z użyciem ujawnionego kilka dni temu błędu w usłudze Smart Install. Ktoś usuwa konfigurację urządzeń w Iranie i Rosji, ale skala ataku może lada moment wzrosnąć.

W ostatnim poniedziałkowym raporcie udostępnianym naszym klientom ostrzegaliśmy przed nowym zagrożeniem w postaci niedawno odkrytych podatności w switchach Cisco, zachęcając do pilnej aktualizacji oprogramowania i filtrowania portów. Wystarczyło kilka dni, by użytkownicy w Iranie i Rosji zaczęli skarżyć się na awarie sieci dostępowych, ponieważ ktoś zdalnie kasuje konfiguracje switchy, zastępując ją amerykańską flagą.

Kilka błędów naraz

29 marca firma Embedi opublikowała informację o błędzie przepełnienia buforu w usłudze Smart Install, umożliwiającej administratorom sieci zdalne zarządzanie urządzeniami Cisco. Usługa ta dostępna jest na porcie TCP 4786 i dowolny nieautoryzowany użytkownik może ją wykorzystać do zdalnego wykonania kodu na podatnym urządzeniu. Cisco wydało odpowiednią aktualizację kodu 28 marca.

Jakby tego było mało, 5 kwietnia Cisco wydało kolejny komunikat związany z usługa Smart Install. Przypomina w nim swój wpis z 27 lutego 2018, gdzie wskazywało błąd logiczny w usłudze, umożliwiający nieautoryzowaną aktualizację oprogramowania na urządzeniu poprzez zmianę ustawień serwera TFTP. Okazuje się, że błąd ten był wykorzystywany przez atakujących, a ostatnie nasilenie się tego rodzaju ataków nakłoniło Cisco do przypomnienia klientom o konieczności aktualizacji.

Ataki trwają i widać ich efekty

Często opisujemy błędy, które nie sa wykorzystywane przez atakujących lub ataki mają niewielką skalę. Tym razem jednak jest inaczej – podatne switche Cisco przestają dzisiaj działać w Iranie i Rosji. Konfiguracja jest usuwana, a w jej miejscu pojawia się amerykańska flaga. Wygląda to tak:

Lub tak:

Co więcej, internauci donoszą, że irańskie sieci mają duże problemy z łącznością, czego dowodem możemy być nagły spadek liczby tras rozgłaszanych z Iranu:

Skutki ataku potwierdził także irański minister telekomunikacji i IT. Informacje o takim samym problemie pojawiają się także na rosyjskich forach. Komunikat o treści:

Do not mess with our elections ….
-JHT
[email protected]

wydaje się mieć podłoże polityczne.

Administratorze, sprawdź swoją sieć

Choć usługa Smart Install powinna być na zdrowy rozsądek niedostępna dla postronnych użytkowników, to wg Shodana w 160 tysiącach przypadków tak jednak nie jest. Jeśli zatem z usługi nie korzystacie, sprawdźcie, czy jest na zarządzanych przez Was switchach włączona i ją wyłączcie – lub przynajmniej odfiltrujcie porty. Instrukcje znajdziecie na stronie Cisco a w wersji dla leniwych:

Sprawdzenie czy usługa jest aktywna

show vstack config

Jeśli zobaczycie

Role: Client (SmartInstall enabled)

lub

Capability: Client
Oper Mode: Enabled

to kolejne polecenie to

no vstack

Firmy zainteresowane naszą ofertą raportów o zagrożeniach zapraszamy do kontaktu.