 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
19 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Хактивисты пользуются халатностью админов, оставивших доступ к устройствам по протоколу SMI открытым.
Причины массовой порчи сетевых устройств Cisco, из-за которой пропадал доступ к сайтам и отваливался Интернет, проясняются. Согласно наблюдениям Talos — исследовательского подразделения Cisco, авторы данной киберкампании пока лишь пользуются халатностью администраторов, не следующих рекомендациям Cisco в отношении Smart Install (SMI).
Эта включенная по умолчанию функция обычно используется при установке новых свитчей, позволяя с легкостью конфигурировать их и удаленно заливать образ системы. После этого SMI следует отключить или как минимум ограничить доступ к TCP-порту 4786, но администраторы порой забывают это сделать — или не считают нужным.
Поскольку протокол SMI не предусматривает на авторизации, ни аутентификации, при открытом доступе к SMI-клиенту возможны злоупотребления, о чем не раз предупреждали эксперты. В прошлом году, обнаружив первые попытки массового сканирования, Cisco выпустила информационный бюллетень, призывающий администраторов принять меры против абьюзов.
Как пишет разработчик, при включенном SMI злоумышленник потенциально может, послав на клиент соответствующее сообщение, изменить адрес сервера TFTP на устройстве, скопировать с него любой файл на свой TFTP-сервер, подменить файл startup-config и задать перезагрузку, залить на устройство свой образ IOS или выполнить любую команду CLI (пользовательского интерфейса командной строки).
Cisco не считает данную проблему уязвимостью, поэтому админам придется самим позаботиться о защите от возможных атак. Эксперты Talos также настоятельно рекомендуют установить патч к уязвимости CVE-2018-0171, раскрытой в конце прошлого месяца: нет гарантии, что авторы текущей киберкампании не попытаются ее эксплуатировать.
Тем временем репортер Motherboard связался с атакующими по электронному адресу, указанному ими в послании. В ответ на вопрос о причинах столь жесткой акции некто с доступом к этому почтовому ящику заявил: «Да достали уже атаки поддерживаемых правительством хакеров против США и других стран. Мы просто хотели сказать это во всеуслышание».
Анонимный корреспондент Motherboard также поведал, что они проводили сканы во многих странах, в том числе в США, Великобритании и Канаде, но «атаковали» только Россию и Иран — видимо, под «атакой» имелось в виду послание, оставляемое на устройствах Cisco. Уязвимые американские и британские свитчи и роутеры они якобы пофиксили, «чтобы предотвратить новые атаки», — деактивировали SMI командой no vstack. Однако поиск через Shodan, проведенный журналистами в субботу, показал, что на территории США все еще находятся 46,5 тыс. устройств с открытым портом 4786 и включенным SMI.
Агентство «Рейтер» тоже внесло свою лепту в горячую тему, процитировав заявление Министерства связи и информационных технологий Ирана, опубликованное IRNA — официальным информагентством страны. Согласно этому заявлению, атака неизвестных хактивистов затронула 3,5 тыс. устройств Cisco в Иране. Судя по всему, ситуацию удалось быстро исправить: Motherboard ссылается на твит иранского министра, датированный пятницей, в котором тот сообщает, что 95% атакованных роутеров уже работают в нормальном режиме.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
