Cisco устранила критическую уязвимость в коммутаторах, а провайдеры и хостеры не успели — некоторые легли

Компания Cisco предупредила об устранении критической уязвимости (CVE-2018−0171) в коммутаторах с поддержкой технологии SMI (Smart Install), которая позволяет удалённо получить полный контроль над устройством без прохождения аутентификации, сообщил Opennet.ru.

Телеграм-канал «Сайберсекьюрити и Ко.» обнаружил среди пострадавших от уязвимости интернет-провайдера «Теорема Телеком» и хостинг-провайдера RuWeb. Они не успели воспользоваться рекомендациями Cisco. Читатель Roem.ru рассказал о проблемах у хостеров Rusonyx и 1Gb.

Для блокирования уязвимости достаточно отключить vstack (команда «no vstack»). В качестве обходного пути защиты можно установить ACL для ограничения доступа к порту 4786:

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

Издание TJ обратило внимание на проблемы у провайдеров в Королёве и Железногорске, абонентов московского оператора «Скайнет», провайдера Imaqlic, сайтов «Фонтанки» и 47news, хостера московского театра «Современник».

Сейчас боты злоумышленников сканируют интернет в поисках уязвимых устройств c Cisco IOS. В одном из дальнейших сценариев они стирают с коммутаторов конфигурационные файлы. После чего у клиентов обрывается связь или пропадают из онлайна сайты.

На сайте Cisco доступен патч от уязвимости:

Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability


Лучшие комментарии

  • Контекст комментария

    AS

    Да элементарный баг в прошивке нашли просто позволяющий удаленно стереть конфиг Cisco (месяц или два назад опубликовали патчи уже вроде), а сейчас кулцхакеры просто запустили ботов сканировать весь инет и обнулять все что найдется…

    Вот все у кого сетевые админы ни хрена не делают и полегли, ИМХО хороший маркер для клиентов и руководства хостингов …

Добавить 29 комментариев

  • Ответить

    Вам повезло, у меня сервер от NetRack пролежал 6 часов с примерно 18:50 до 0:50.
    А сайт самого NetRack — около двух часов был недоступен.

    У меня единомоментно с сервером упал интернет в офисе (Вестком Трейд, их сайт до сих пор лежит), я уж думал все — интернет попал под санкции.

  • Ответить

    У нас одну забытую 3750 нашли и чего-то загрузили с DigitalOcean

    Apr 6 18:50:29 MSK: %SYS-5-CONFIG_NV_I: Nonvolatile storage configured from tftp://198.199.79.18/my.conf by console

  • Ответить
    Владимир Мяу и компания

    Объясните хоть вкратце людям, далеким от цискодрюченья, в чем там прикол вообще? Что за флажок, это так американско-патриотические хацкеры показывают язык русским или штоа?

  • Ответить
    AS

    Да элементарный баг в прошивке нашли просто позволяющий удаленно стереть конфиг Cisco (месяц или два назад опубликовали патчи уже вроде), а сейчас кулцхакеры просто запустили ботов сканировать весь инет и обнулять все что найдется…

    Вот все у кого сетевые админы ни хрена не делают и полегли, ИМХО хороший маркер для клиентов и руководства хостингов …

  • Ответить

    Оно как бы для этого и создано, не?

    не, оно создано коммутировать и маршрутизировать. а управление этим оборудованием должно осуществляться спецлюдьми в спецVLAN-е, а в некоторых случаях и вовсе через через спецпорты. а в некоторых особых случаях — вообще только через консоль. а так чтобы, как нам тут показывают, по tftp что-то можно было залудить из Интернета — ну, безумству храбрых поем мы песню.

    сегодня торчать голой задницей в Интернете могут не только лишь все, мало кто может это делать. сейчас такое время, когда доступ по SSH нужно осуществлять через VPN, подключение к которому ограничивается не только выданными ключами, но и списком доверенных IP-адресов.

  • Ответить

    Конечно, давайте еще одну точку отказа строить с серыми адресами. За той же циской, если че.
    При том, что на циске клиенты, и их могут ломануть, они могут ломануть.
    Ломали же не через SSH, кстати.

  • Ответить

    Конечно, давайте еще одну точку отказа строить с серыми адресами.

    главное — понять, вот то что голой задницей на белом IP в инете — это какой-то модный тренд, обновились лучшие практики, или просто режим жесткой экономии на всём, начиная с ИБ? про вариант «в отрасль пришли новые люди, которые могут то же самое, но дешевле» думать не хочется.

  • Ответить

    Задница с белым ip была вполне себе, как казалось, прикрытой. Нашлась дыра, да еще о ней как то не особо уведомили.

    ИБ стоит денег и в каждом случае есть соотношение с ценой. Иногда надо строить отдельную инфраструктуру, иногда смысла в этом очень мало.

    И еще раз, серый ip не спасение, это ложная безопасность. Вспомним о волне взлома руотеров на сером ip.

    ЗЫ.
    Вышеупомянутые люди пришли в интернет тогда, когда многие нынешние эксперты еще на свет не появились.

  • Ответить

    Вот тут пишут https://habrahabr.ru/company/cisco/blog/352996/ что это дело работает на любом поднятом интерфейсе, который мог быть просто IP маршрутизации или любым другим IP инфраструктурной связности. Ко внутренним сервисам в интернет это не имеет никакого отношения.
    Это со стороны Cisco полная клиника, как и отговорки по 28 числа выпуск патча, развертку которого за такое время запланировать даже не успеешь.
    Что не умаляет конечно что кое-кто рукожоп (в том числе например я), но основной мяч добра на стороне Cisco тут конечно.

  • Ответить

    И еще раз, серый ip не спасение, это ложная безопасность. Вспомним о волне взлома руотеров на сером ip.

    речь не о сером IP как панацее, а о контроле доступа к интерфейсам управления.

    Вышеупомянутые люди пришли в интернет тогда, когда многие нынешние эксперты еще на свет не появились.

    так им уже давно пора на пенсию, получается.

    да не, какие тут лучшие практики, ИБ, безопасность. всё банально — лень-матушка.

  • Ответить

    основной мяч добра на стороне Cisco тут конечно

    компания Cisco виновата просто по факту производства оборудования и написания к нему софта, это понятно. но та же компания Cisco много раз всем заинтересованным сообщала (с картинками) как нужно устраивать доступ к управлению. вы (не вы лично, абстрактно) хотите строить надежные сети — читайте, всё открыто. лень читать, не тот профиль — обучите себе специалиста. не хотите себе специалиста в штат — обратитесь к обученным специалистам на стороне, благо их есть в количестве даже в России. не хотите строить надежные сети, надеетесь на авось — имеете ситуацию, когда любой залетевший дятел может прервать работу большой сети.

  • Ответить

    О контроле доступа к интерфейсам — см ответ Дмиха, ломалось и без доступа.

    по ссылке написано, что страдают устройства, доступные из интернет.

    Лень и деньги — несколько разные вещи.

    ввести несколько команд в оборудование не стОит ничего.

  • Ответить

    Сделаем вывод:
    Cisco дорогое и ненадежное оборудование, уязвимое по умолчанию, требующее постоянной поддержки дорогих неадекватных специалистов и специальных средств защиты.

  • Ответить

    Ввели если что. Cisco почему то не отметила, что no vstack работает только на последних прошивках. На других — нет реакции.

    Не вижу ничего плохого в доступных через интернет устройствах.

  • Ответить

    2Иван Карпухин

    Да это к любому оборудованию в принципе относится. Cisco то как раз одно из самых безпроблемных все-таки, иначе бы не стояло везде и вся и не стоило бы столько… Ну, а баги, баги они были, есть и будут … и во веки веков :)

  • Ответить

    Я о том же, что предлагается обжегшись на молоке дуть на воду.
    Впрочем, специалистам по Циско и ИБ тоже надо себя продавать. А не обманешь — не продашь.

  • Ответить

    Ввели если что. Cisco почему то не отметила, что no vstack работает только на последних прошивках. На других — нет реакции.

    на тех, что нет реакции, после no vstack, что показывает show vstack config | inc Role?

    Не вижу ничего плохого в доступных через интернет устройствах.

    бездуховность…

  • Ответить

    У вас то бумажки бесплатные, то специалисты дорогие, вы определитесь, трусики или крестик.

    В бумажке написано, что на 6 свитчей второго уровня я должен еще два впна и файрвол поднимать, что конечно очень умно да.

  • Ответить

    У вас то бумажки бесплатные, то специалисты дорогие

    знаете, так наверное везде. бумажки с законами тоже бесплатные, а вот специалисты по их чтению и применению стоят денег.

    В бумажке написано, что на 6 свитчей второго уровня я должен еще два впна и файрвол поднимать, что конечно очень умно да.

    в бумажке написано:

    — Enforce access control using firewalls
    — Classify and prioritize management traffic using QoS at remote sites
    — Provide network isolation using NAT
    — Enforce the use of encrypted, secure access, and reporting protocols

    я говорю о первом пункте. никто в бумажке вас не обязывает иметь серый IP или конкретную схему сети (конечно, Cisco не прочь вам продать всё что нарисовано на картинках, и услуги по настройке, но речь не об этом). дано буквально 4 рекомендации, из которых выполнение первой же, даже на белых IP, избавляло бы вас от проблем. вы с чем спорите? что этого делать не надо? что это дорого?

    и если поговорить, то у вас же там всяко не только 6 свичей, и скорее всего есть какие-никакие маршрутизаторы, ну и конечно серверы — вы же хостеры. ничто не мешает вам иметь служебный VPS, на котором будет ваш management gw, принимать там VPN, и собирать туда локальную статистику и оттуда вершить судьбы мира.

    не обязательно делать физически всё только на циске, но что касается проектирования сети и правил эксплуатации, с циской спорить не нужно, с теорией у них полный порядок.