1. Бот, який полює на «циского»
2. Для адмінів: що з цим робити

У вас відвалився Інтернет або ви не можете зайти на улюблений сайт? Це неспроста: за даними наших джерел, зараз відбувається масивна атака на свитчи Cisco, які використовуються в дата-центрах практично повсюдно.

Бот, який полює на «циского»

Схоже, що атака ведеться приблизно так. Якесь угруповання використовує уразливість в програмі під назвою Cisco Smart Install Client, щоб отримати можливість виконувати довільний код на пристрої. Зловмисники перезаписують образ системи Cisco IOS і змінюють конфігураційний файл, залишаючи в ньому послання «Do not mess with our elections» ( «Не втручайтеся в наші вибори»).

Схоже, що для атаки використовується бот, скануючий через пошуковик інтернету речей Shodan або навіть через власну утиліту Cisco пристрої на предмет наявності цієї уразливості і експлуатує її. Знайшов черговий уразливий свитч, переписав конфігурацію - вивів з ладу сегмент мережі. В результаті цілі дата-центри виявляються недоступними, що призводить і до недоступності багатьох популярних сайтів.

За даними Cisco Talos, в світі налічується більше 168 000 пристроїв, схильних до цієї уразливості . Масштаби атаки поки не повністю зрозумілі, але вони можуть бути дуже серйозними. Судячи з усього, зловмисники атакують в основному російськомовний сегмент Інтернету, хоча і іншим явно теж дісталося.

Поки що ми вивчаємо цю атаку, пост буде поповнюватися в міру виявлення нових відомостей.

Для адмінів: що з цим робити

Спочатку, функція Smart Install замислювалася як інструмент, який полегшує життя адміністраторам. Вона дозволяє конфігурувати пристрій і заливати на нього образ системи віддалено. Тобто встановлюєте на об'єкті обладнання і налаштовуєте все з центрального офісу - це називається Zero Touch Deployment. Для цього на ньому повинен працювати Smart Install Client і повинен бути відкритий порт TCP 4786 (а за замовчуванням всі так і є: Smart Install включений, порт відкритий).

Протокол Smart Install спочатку не підтримує аутентифікацію, тому ще питання, чи коректно називати це вразливістю. Cisco, наприклад, так не вважає. Вони називають це зловмисним використанням протоколу . По-суті це проблема датацентрів, що не обмежили доступ до TCP порту 4786 або не вимкнув Smart Install зовсім.

Для того, щоб перевірити, чи працює на вашому обладнанні Smart Install, можна виконати на світче команду show vstack config. Якщо відповідь покаже, що Smart Install включений, то рекомендується відключити його за допомогою команди no vstack.

У деяких релізах операційної системи це відключення буде працювати до першої перезавантаження (в світча серій Cisco Catalyst 4500 і 4500-X при ОС 3.9.2E / 15.2 (5) E2; в світч Cisco Catalyst 6500 при версіях системи 15.1 (2) SY11, 15.2 (1) SY5 і 15.2 (2) SY3; в світч Cisco Industrial Ethernet 4000 при версіях 15.2 (5) E2 і 15.2 (5) E2a; а також в світч Cisco ME 3400 і ME 3400E при версії 12.2 (60) EZ11. Дізнатися версію використовуваної ОС можна, виконавши команду show version). У такому випадку рекомендується змінити версію або автоматизувати виконання команди no vstack.

Якщо ваші бізнес-процеси не дозволяють вимикати Smart Install або у вашій версії системи немає команди no vstack (а таке може бути - вона була додана одним з патчів), то доведеться обмежити підключення до порту 4786. Cisco рекомендує робити це за допомогою аркушів контролю доступу до інтерфейсу - так, щоб з цього порту могло спілкуватися тільки довірена пристрій (в прикладі воно знаходиться за адресою 10.10.10.1).
приклад:

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

Детальніше прочитати про цю проблему можна тут.

доповідь по експлуатації Smart Install першим зробив Дмитро Кузнєцов на конференції Zeronights 2016.