УЯЗВИМОСТЬ В КОММУТАТОРАХ CISCO ИСПОЛЬЗУЕТСЯ ДЛЯ АТАК НА ОБЪЕКТЫ КИ ПО ВСЕМУ МИРУ
Некоторые из атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear.
Хакерские группировки используют уязвимость в коммутаторах Cisco с поддержкой технологии SMI (Smart Install) для атак на объекты критической инфраструктуры по всему миру, предупредили специалисты команды Cisco Talos. По мнению экспертов, некоторые из этих атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear. В связи с этим администраторам рекомендуется как можно скорее установить обновление или отключить в настройках устройства технологию SMI, предназначенную для автоматизации начальной настройки и загрузки прошивки для новых коммутаторов.
Проблема связана с тем, что многие владельцы не настраивают или не отключают протокол SMI, и клиент продолжает ожидать команд «установки\настройки» в фоновом режиме. Воспользовавшись уязвимостью, злоумышленник может модифицировать настройки TFTP-сервера и извлечь конфигурационные файлы через протокол TFTP, изменить общий конфигурационный файл коммутатора, заменить образ ОС IOS, создать локальные учетные записи и предоставить возможность атакующим авторизоваться на устройстве и выполнить любые команды.
Первые случаи эксплуатации данной уязвимости Cisco зафиксировала в феврале 2017 года, тогда же начались попытки сканирования на предмет уязвимых устройств (с открытым по умолчанию портом 4786), случаи сканирования участились в октябре того же года и удвоились в феврале 2018 года после того, как компания опубликовала еще одно предупреждение о данной уязвимости.
По данным Cisco Talos, в настоящее время в Сети доступно 168 тыс. коммутаторов с поддержкой SMI. Команда опубликовала ряд инструкций для администраторов по отключению протокола на уязвимых устройствах, а также выпустила инструмент для сканирования локальных сетей или интернета на предмет уязвимых устройств.
Специалисты отметили, что вышеописанная проблема не имеет отношения к другой уязвимости (CVE-2018-0171), обнаруженной в протоколе Smart Install.
