По всему миру в результате массовых атак на свитчи Cisco отключаются целые сегменты интернета. Уязвимость, через которую осуществляется атака, присутствует как минимум в 168 тыс. устройств. Мишенью хакеров, эксплуатирующих баг, стал рунет и объекты критической инфраструктуры России.

Атака на Россию

Шестого апреля 2018 г. началась массированная хакерская атака на популярные свитчи компании Cisco, которая привела к отключению целых сегментов интернета. Как сообщила «Лаборатория Касперского», основной целью атак является рунет. С помощью бота группа хакеров перезаписывает образ Cisco IOS, оставляя в конфигурационном файле сообщение «Do not mess with our elections» («Не вмешивайтесь в наши выборы»).

Одновременно центр мониторинга и реагирования на кибератаки компании Solar JSOC сообщил, что мишенью атак стали значимые объекты критической информационной инфраструктуры России. Центр поясняет, что атака на эти объекты ведется в 20-30 раз интенсивнее, чем на обычные компании, и с большего количества адресов, что позволяет говорить об ее целенаправленности.

Уязвимость в свитчах Cisco

Атака стала возможна потому, что в прошивках Cisco IOS и Cisco IOS-XE была найдена уязвимость переполнения стека, которая позволяет атакующему удаленно выполнить на устройстве произвольный код и получить полный контроль над сетевым оборудованием. Уязвимость присутствует в коде Smart Install — функции автоматической настройки параметров для новых устройств, подключенных к сети.

Уязвимость была подтверждена для свитчей Cisco Catalyst серий 4500 Supervisor Engine, 3850 и 2960. Потенциально уязвимыми также являются Cisco Catalyst серий 3750, 3650, 3560 и 2975, а также IE 2000, 3000, 3010, 4000, 4010 и 5000, равно как SM-ES2 SKU, SM-ES3 SKU, NME-16ES-1G-P и SM-X-ES3 SKU. По данным группы обнаружения угроз Cisco Talos, уязвимость охватывает около 168 тыс. свитчей по всему миру. Согласно исследованию ИБ-компании Tenable, их число достигает 251 тыс. Благодаря большому количеству затронутых устройств СМИ успели окрестить использование уязвимости «цископадом».

Технические особенности

С помощью функции Smart Install можно удаленно, без непосредственного присутствия администратора, настроить конфигурацию нового свитча и загрузить на него образ текущей ОС. С точки зрения Smart Install вся сеть выглядит как набор клиентских устройств, обслуживаемых общим свитчем Layer 3 или роутером, которые выполняет функции директора. Директор управляет загрузкой образов и конфигураций на клиенты, которые подключены к нему прямым или непрямым образом. Уязвимость присутствует только на тех клиентских устройствах, на которых функция Smart Install активирована по умолчанию.

Хакеры оставляют в конфигурационных файлах свитчей Cisco просьбу «не вмешиваться в выборы»

Клиент связывается с директором через порт TCP(4786), также открытый по умолчанию. Если в процессе этого сервер получает специально созданное вредоносное сообщение ibd_init_discovery_msg, то в функции smi_ibc_handle_ibd_init_discovery_msg возникает ошибка переполнения стека. Причиной возникновения ошибки становятся то, что размер данных, копируемых в буфер, не проверяется, при этом буфер имеет ограничение по объему. Данные и их объем берутся непосредственно из сетевого пакета и контролируются злоумышленником.

История открытия уязвимости

Уязвимость была успешно проэксплуатирована на конференции исследователей информационной безопасности GeekPWN 2017 Hong-Kong в мае 2017 г. и выиграла там приз G-Influence. Для демонстрации было выбрано устройство Cisco Catalyst 2960. Хакерам удалось выполнить два условия: изменить пароль для входа в привилегированный режим EXEC и перехватить интернет-трафик, поступающий на устройства, которые подключены к свитчу.

В конце марта 2018 г. Cisco выпустила патч, устраняющий уязвимость. Баг получил название CVE-2018-0171. Чтобы проверить, подвержен ли свитч действию уязвимости, следует выяснить, открыт ли там порт TCP(4786), для чего достаточно просто просканировать сеть. Следует также понять, работает ли на сетевом оборудовании функция Smart Install, для чего используется команда switch>show vstack config. Чтобы обезопасить устройство, достаточно ограничить доступ к порту и отключить эту функцию.

«Очень странно, что у Cisco так много времени занял выпуск обновлений, — говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Сейчас Cisco выпустили и все обновления, и все нужные технические подробности для нейтрализации угрозы. Дело за малым — оперативной установкой обновлений и закрытием «опасного» порта».

Источник:  CNews