Ситуация с масштабной атакой на сетевые устройства Cisco, из-за которой пропадал доступ к сайтам и отваливался Интернет, проясняется. Согласно наблюдениям Talos — исследовательского подразделения Cisco, авторы данной киберкампании воспользовались халатностью администраторов, не следующих рекомендациям производителя в отношении Smart Install (SMI).

Эта включенная по умолчанию функция обычно применяется при установке новых свитчей, позволяя с легкостью конфигурировать их и удаленно заливать образ системы. После этого SMI следует отключить или как минимум ограничить доступ к TCP-порту 4786, но администраторы порой забывают это сделать — или не считают нужным.

Поскольку протокол SMI не предусматривает ни авторизации, ни аутентификации, при открытом доступе к SMI-клиенту возможны злоупотребления, о чем не раз предупреждали эксперты. В прошлом году, обнаружив первые попытки массового сканирования, Cisco выпустила информационный бюллетень, призывающий администраторов принять меры против абьюзов.

Как пишет разработчик, при включенном SMI злоумышленник потенциально может, послав на клиент соответствующее сообщение, изменить адрес сервера TFTP на устройстве, скопировать с него любой файл на свой TFTP-сервер, подменить startup-config и задать перезагрузку, залить на роутер или свитч свой образ IOS или выполнить любую команду CLI (пользовательского интерфейса командной строки).

Cisco не считает данную проблему уязвимостью, поэтому админам придется самим позаботиться о защите от возможных атак. Эксперты Talos также настоятельно рекомендуют установить патч к CVE-2018-0171, раскрытой в конце прошлого месяца: нет гарантии, что авторы текущей киберкампании не попытаются ее эксплуатировать.

Тем временем репортер Motherboard связался с атакующими по электронному адресу, указанному ими в послании. В ответ на вопрос о причинах столь жесткой акции некто с доступом к почтовому ящику заявил: «Да достали уже атаки поддерживаемых правительством хакеров против США и других стран. Мы просто хотели сказать это во всеуслышание».

Анонимный корреспондент Motherboard также поведал, что они проводили сканы во многих странах, в том числе в США, Великобритании и Канаде, но «атаковали» только Россию и Иран — видимо, под «атакой» имелось в виду послание, оставляемое на устройствах Cisco. Уязвимые американские и британские свитчи и роутеры они якобы пофиксили, «чтобы предотвратить новые атаки», — деактивировали SMI командой no vstack. Однако поиск через Shodan, проведенный журналистами в субботу, показал, что на территории США все еще находятся 46,5 тыс. устройств с открытым портом 4786 и включенным SMI.

Агентство «Рейтер» тоже внесло свою лепту в горячую тему, процитировав заявление Министерства связи и информационных технологий Ирана, опубликованное IRNA — официальным информагентством страны. Согласно этому заявлению, атака неизвестных хактивистов затронула 3,5 тыс. устройств Cisco в Иране. Судя по всему, ситуацию удалось быстро исправить: Motherboard ссылается на твит иранского министра, датированный пятницей, в котором тот сообщает, что 95% атакованных роутеров уже работают в нормальном режиме.

Категории: Главное, Кибероборона, Уязвимости, Хакеры