В Интернете зафиксирован всплеск активности бота, эксплуатирующего новую брешь на устройствах под Cisco IOS.

По данным наших источников, при обнаружении уязвимых устройств зловред удаляет содержимое их конфигурационного файла и записывает вместо него графическое изображение, напоминающее американский флаг, с надписью Do not mess with our elections («Не вмешивайтесь в наши выборы»).

Брешь CVE-2018-0171 была обнаружена в коде ПО для сетевых коммутаторов Cisco Smart Install Client, обеспечивающего управление образами и автоматическую конфигурацию новых устройств. Она позволяет принудительно перезагрузить устройство, выполнить на нем произвольный код или вызвать отказ сторожевого таймера.

Подробное описание уязвимости было опубликовано компанией в конце марта и дополнено 6 апреля. По данным производителя, в мире насчитывается более 168 000 потенциально подверженных ей устройств.

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Чтобы защитить устройства, эксперты производителя рекомендуют деактивировать Smart Install Client командой no vstack либо ограничить доступ к коммутатору белым списком (ACL, Access Control List). Проверить, активна ли эта функция, можно командой show vstack config.

Кроме того, Cisco выпустила патч и соответствующие рекомендации по безопасности. Производитель советует ознакомиться с документом, прежде чем устанавливать обновления, а также убедиться, что аппаратное и программное обеспечение устройства совместимы с патчем и имеют достаточно свободной памяти. Поддержку клиентов в России Cisco осуществляет по следующим телефонам:

  • В Москве: (+7 495) 961 13 82
  • В Санкт-Петербурге: (+7 812) 363-3328
  • По всей стране: (8 800) 700 05 22

Категории: Вредоносные программы, Уязвимости