Una vulnerabilidad en Cisco IOS dejó a los usuarios sin internet

En este momento se realiza una potente red de bots-ataque. Todas las direcciones en internet se escanean en busca de fresco de la vulnerabilidad en el software IOS de Cisco, que permite la ejecución remota de comandos a los dispositivos Cisco. El bot entra en el dispositivo y elimina la configuración, registrando en su lugar a sus archivos.

Una Vulnerabilidad ha recibido el identificador CVE-2018-0171 y marcó el 9,8 puntos en la escala de CVSS. Si sólo tiene que desconectaba de internet, o se apagará en breve, con gran probabilidad, es la relacionada con la anterior de la vulnerabilidad. El problema del trabajo de la Red se celebran ahora. Incluso el equipo Hi-News.ru.

El Equipo de Cisco ha publicado un informe según el cual cientos de miles de dispositivos en la Red que son vulnerables gracias a la tecnología Smart Install. La compañía ha advertido de los objetos de la infraestructura crítica acerca de los riesgos del uso de dispositivos vulnerables.

La Tecnología Smart Install permite automatizar el proceso de configuración inicial configuración y la carga actual de la imagen del sistema operativo para el nuevo conmutador de red.

Sobre el problema de la espiga de exploraciones, en un intento por descubrir la protección de los dispositivos en los que está activada Smart Install Cisco informó en febrero del año pasado. En ese momento se decía que la agrupación de hackers pueden utilizar Smart Install para obtener copias de las configuraciones afectadas por los dispositivos de los clientes. Además, se ha informado de que los atacantes utilizaron una herramienta de código abierto para el análisis en la búsqueda de los sistemas vulnerables. Esta herramienta se llama Smart Install Exploitation Tool (SIET).

Ahora mismo Cisco presentó una nueva declaración:

"de Cisco en el curso de un crecimiento significativo en el número de intentos en la búsqueda vulnerables dispositivos con la Smart Install. Como consecuencia del éxito de los ataques, el atacante puede modificar el archivo de configuración, obliga a reiniciar el dispositivo, descargar en su dispositivo una nueva imagen de IOS, ejecutar un comando CLI altos de los derechos".

En opinión De los expertos, algunos de estos ataques fueron llevados a cabo la agrupación, conocida como la libélula, Crouching Yeti y Energetic Bear. En este sentido, se recomienda que los administradores como sea posible instalar la actualización o desactivar en la configuración de dispositivos de tecnología SMI, diseñada para la automatización de la configuración inicial y la descarga de firmware para los nuevos conmutadores.

El Problema está relacionado con el hecho de que muchos propietarios no configuran o no desactivan el protocolo de SMI, y el cliente está a la espera de comandos установкинастройки" en segundo plano. Aprovechando esta vulnerabilidad, un atacante puede modificar la configuración del servidor TFTP y extraer los archivos de configuración a través de TFTP, modificar el fichero de configuración del conmutador, reemplazar la imagen del sistema operativo IOS, crear cuentas locales y proporcionar la oportunidad de que los atacantes de iniciar una sesión en el dispositivo y ejecutar cualquier comando.

Para la explotación de la vulnerabilidad, el atacante debe recurrir a un puerto TCP 4786, que está abierto por defecto. Se informa que el problema puede usar como un ataque de denegación de alejando dispositivos vulnerables en un bucle infinito de reinicios.

Según datos De Cisco Talos, actualmente disponibles en la Red de 168 miles de conmutadores con el apoyo de SMI. Sin embargo, según el análisis del Embedi en total, en internet se han detectado más de 8,5 millones de dispositivos abierto el puerto 4786, y los parches que solucionan crítica de la vulnerabilidad, no se instalan alrededor de 250 000 de ellos.

Los Analistas Embedi realizaban pruebas de vulnerabilidades en los dispositivos de Catalyst 4500 Supervisor de base de datos, así como los switches de las series Cisco Catalyst 3850 y Cisco Catalyst 2960, sin embargo, probablemente se trata de una vulnerabilidad de todos los dispositivos que se ejecutan en Smart Install, es decir:

• Catalyst 4500 Supervisor Engines;
• Catalyst 3850 Series;
• Catalyst 3750 Series;
• Catalyst 3650 Series;
• Catalyst 3560 Series;
• Catalyst 2960 Series;
• Catalyst 2975 Series;
• IE 2000;
• IE 3000;
• IE 3010;
• IE 4000;
• IE 4010;
• IE 5000;
• SM-ES2 SKUs;
• SM-ES3 SKUs;
• NME-16ES-1G-P;
• SM-X-ES3 SKUs.

El Equipo de Cisco ha publicado sobre cómo deshabilitar el protocolo vulnerables dispositivos, y también ha lanzado una herramienta para el análisis de las redes locales o internet para la búsqueda de dispositivos vulnerables.