Компания Cisco предупредила об устранении критической уязвимости (CVE-2018-0171) в коммутаторах с поддержкой технологии SMI (Smart Install), которая позволяет удалённо получить полный контроль над устройством без прохождения аутентификации, сообщил Opennet.ru.
Телеграм-канал «Сайберсекьюрити и Ко.» обнаружил среди пострадавших от уязвимости интернет-провайдера «Теорема Телеком» и хостинг-провайдера RuWeb. Они не успели воспользоваться рекомендациями Cisco. Читатель Roem.ru рассказал о проблемах у хостеров Rusonyx и 1Gb.
Для блокирования уязвимости достаточно отключить vstack (команда "no vstack"). В качестве обходного пути защиты можно установить ACL для ограничения доступа к порту 4786:
ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any
Издание TJ обратило внимание на проблемы у провайдеров в Королёве и Железногорске, абонентов московского оператора «Скайнет», провайдера Imaqlic, сайтов «Фонтанки» и 47news, хостера московского театра «Современник».
Сейчас боты злоумышленников сканируют интернет в поисках уязвимых устройств c Cisco IOS. В одном из дальнейших сценариев они стирают с коммутаторов конфигурационные файлы. После чего у клиентов обрывается связь или пропадают из онлайна сайты.
На сайте Cisco доступен патч от уязвимости:
Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability
В чатике коллеги по цеху делятся пятничным дерьмом #CVE_2018_0171 #Cisco #RCE pic.twitter.com/zIV73w1Wpu
— 0xFF (@xnetua) April 6, 2018
Нащет достаточно отключить vstack — неправда.
Мы с утра ее отключили — НИСПАСЛО.