09.04.2018

Уязвимость в коммутаторах Cisco используется для атак на объекты КИ по всему миру

Интернет-портал Securitylab.ru, апрель, 2018<br>
Экспертный комментарий Алексея Гришина, руководителя отдела информационных технологий "Аладдин Р.Д."

Некоторые из атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear.

Хакерские группировки используют уязвимость в коммутаторах Cisco с поддержкой технологии SMI (Smart Install) для атак на объекты критической инфраструктуры по всему миру, предупредили специалисты команды Cisco Talos. По мнению экспертов, некоторые из этих атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear. В связи с этим администраторам рекомендуется как можно скорее установить обновление или отключить в настройках устройства технологию SMI, предназначенную для автоматизации начальной настройки и загрузки прошивки для новых коммутаторов.

Проблема связана с тем, что многие владельцы не настраивают или не отключают протокол SMI, и клиент продолжает ожидать команд "установки\настройки" в фоновом режиме. Воспользовавшись уязвимостью, злоумышленник может модифицировать настройки TFTP-сервера и извлечь конфигурационные файлы через протокол TFTP, изменить общий конфигурационный файл коммутатора, заменить образ ОС IOS, создать локальные учётные записи и предоставить возможность атакующим авторизоваться на устройстве и выполнить любые команды.

Первые случаи эксплуатации данной уязвимости Cisco зафиксировала в феврале 2017 года, тогда же начались попытки сканирования на предмет уязвимых устройств (с открытым по умолчанию портом 4786), случаи сканирования участились в октябре того же года и удвоились в феврале 2018 года после того, как компания опубликовала ещё одно предупреждение о данной уязвимости.

По данным Cisco Talos, в настоящее время в Сети доступно 168 тыс. коммутаторов с поддержкой SMI. Команда опубликовала ряд инструкций для администраторов по отключению протокола на уязвимых устройствах, а также выпустила инструмент для сканирования локальных сетей или интернета на предмет уязвимых устройств.

Специалисты отметили, что вышеописанная проблема не имеет отношения к другой уязвимости (CVE-2018-0171), обнаруженной в протоколе Smart Install.

Алексей Гришин, руководитель отдела информационных технологий компании "Аладдин Р.Д.".

Вопреки мнению большинства "экспертов" считаю, что данную уязвимость обозначать как критическую нельзя. Выставлять за пределы контура Cisco Smart Install протокол, или не ограничивать к нему доступ - халатность администратора. Всем известен порт, по которому работает протокол, уже более года известно об уязвимости, и методы её эксплуатации демонстрировались на ведущих конференциях по ИБ — не принять меры, зная эту информацию, как минимум, странно. Открытым вопросом остаётся отсутствие патча и полное игнорирование проблемы со стороны производителя, но это, скорее, философский вопрос, чем вопрос по организации ИБ. Почему уязвимость которой больше года до сих пор не устранена в объектах критической инфраструктуры? В первую очередь, речь идёт о банальной халатности обслуживающего персонала. На IT традиционно экономят, поэтому нехватка специалистов или их недостаточная квалификация могут приводить к данной проблеме.

На самом деле, устранить уязвимость просто, необходимо отключить протокол, для этого достаточно одной команды — no vstack. Если стоит задача по решению проблемы сторонними средствами, то контроля за обращением к порту TCP-4786 также достаточно. Фильтрацию такого типа трафика из нежелательной зоны может выполнить любой файрвол.