Хакерская атака на технику Cisco оставила пользователей без интернета
Не так давно в ПО Cisco IOS выявили потенциальную уязвимость, которая позволяет осуществлять хакерские атаки, а также удаленно выполнять команды на коммутаторах, выпущенных американской транснациональной IT-компанией Cisco. В настоящее время уже зафиксирована мощная атака по всему миру, приведшая к отключению оборудования провайдеров от Интернета, а также к сбою в работе дата-центров и некоторых web-сайтов, среди которых числятся Facebook, Twitter, российские «Комсомольская правда» и «Фонтанка». Хакеры создали бота, сканирующего в интернете все адреса. После нахождения незащищенных соединений он удалял выставленные на коммутаторе настройки и изменял конфигурационный файл, в завершении появлялось послание с американским флагом, выложенным из символов ASCII: "Do not mess with our elections (Не вмешивайтесь в наши выборы)".
Идентификатор, присвоенный уязвимости, CVE-2018-0171. По шкале Common Vulnerability Scoring System, или CVSS, она набрала 9.8 балла. Проблемы с выходом в интернет сейчас есть у многих ресурсов. Даже у восстановившихся Twitter и Facebook. Всё дело в сбое в хостинговых настройках.
Под ударом оказалась технология SMI, или Smart Install, позволяющая, настроив автоматически конфигурацию сетевого коммутатора, загружать для него прошивку. Хакером хватало отсканировать устройства по открытому порту 4786.
Корпорация Cisco выпустила официальное предупреждение об уязвимости сотен тысяч устройств её производства по причине бреши, имеющейся в SMI. Соответствующие исправления уже выпущены. Правда, компании ещё не успели воспользоваться патчами.
По имеющейся у экспертов информации, открытый порт 4786 имеется у 8.5 миллионов коммутаторов от Cisco. Патчи же установлены лишь на 250 тысяч из них. Производитель опубликовал просьбу о максимально быстрой установке исправлений или отключении протокола SMI. По данным Cisco Talos, в текущий момент в Сети доступно 168 тыс. коммутаторов с поддержкой SMI.
Источник: talosintelligence.com