Уязвимость в коммутаторах Cisco может повалить весь интернет

Как поведали нам вечером 6 апреля в компании-провайдере Imaqliq, в программном обеспечении компании Cisco обнаружилась уязвимость, которая поставила под удар коммутаторы ее производства с поддержкой технологии SMI (она применяется для автоматизации начальной настройки и загрузки прошивки).

«Наши исследования показали, что киберпреступники могут использовать Смарт Install для получения копий конфигураций затронутых устройств клиентов», — передала Cisco Talos в 2014 г.

Стоит обозначить, что почти одновременно с публикацией информации о CVE-2018-0171 профессионалы Cisco Talos выпустили собственное предупреждение, так же связанное с SMI, но не имеющие отношения к данной проблеме. «Поэтому, ежели у вас только-только выключился, либо совсем скоро выключится интернет, с большой вероятностью, это произошло по этой причине», — объявил специалист по кибербезопасности Александр Литреев. В самой компании проблему признали критической.

Смарт Install представляет собой технологию, позволяющую автоматизировать процесс первоначальной настройки конфигурации и загрузки актуального образа ОС для нового сетевого коммутатора.

По предварительным данным СМИ, хакеры обнаружили уязвимость в оборудовании крупнейшей телеком-компании Cisco и начали штурмовать его.

«Cisco в курсе существенного роста числа попыток сканирования в поисках уязвимых устройств с активированной Смарт Install».

Из-за уязвимости оборудования, которую используют хакеры во всем мире, не работали сайты, интернет-почта, но избегать таковых сложностей достаточно легко. Воспользовавшись уязвимостью, обидчик может модифицировать настройки TFTP-сервера и извлечь конфигурационные файлы через протокол TFTP, поменять общий конфигурационный файл коммутатора, заменить образ ОС IOS, сделать локальные учетные записи и предоставить возможность атакующим авторизоваться на устройстве и выполнить всевозможные команды. Уязвимость CVE-2018-0171 вызвана переполнением стека, а использовать ее можно через открытый по умолчанию порт 4786. Команда обнародовала ряд инструкций для администраторов по отключению протокола на уязвимых устройствах, а еще выпустила инструмент для сканирования локальных сетей либо интернета на предмет уязвимых устройств.