Cisco устранила критическую уязвимость в коммутаторах, а провайдеры и хостеры не успели — некоторые легли

Компания Cisco предупредила об устранении критической уязвимости (CVE-2018-0171) в коммутаторах с поддержкой технологии SMI (Smart Install), которая позволяет удалённо получить полный контроль над устройством без прохождения аутентификации, сообщил Opennet.ru.

Телеграм-канал «Сайберсекьюрити и Ко.» обнаружил среди пострадавших от уязвимости интернет-провайдера «Теорема Телеком» и хостинг-провайдера RuWeb. Они не успели воспользоваться рекомендациями Cisco. Читатель Roem.ru рассказал о проблемах у хостеров Rusonyx и 1Gb.

Для блокирования уязвимости достаточно отключить vstack (команда "no vstack"). В качестве обходного пути защиты можно установить ACL для ограничения доступа к порту 4786:

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

Издание TJ обратило внимание на проблемы у провайдеров в Королёве и Железногорске, абонентов московского оператора «Скайнет», провайдера Imaqlic, сайтов «Фонтанки» и 47news, хостера московского театра «Современник».

Сейчас боты злоумышленников сканируют интернет в поисках уязвимых устройств c Cisco IOS. В одном из дальнейших сценариев они стирают с коммутаторов конфигурационные файлы. После чего у клиентов обрывается связь или пропадают из онлайна сайты.

На сайте Cisco доступен патч от уязвимости:

Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability

https://twitter.com/xnetua/status/982316233411325952

1 комментарий | Подписаться на комментарии | Комментировать

Источник: Roem.ru