Уязвимость Cisco IOS и способы борьбы с ней.
С недавних в сети ИНТЕРНЕТ бушует ботнет-атака. В интернете все адреса сканируются ботом на наличие уязвимости в Cisco IOS, которая позволяет выполнять команды на устройствах Cisco удалённо. Найдя такое устройство, бот заходит на него и удаляет файл конфигурации, записывая вместо него свой.
Согласно опубликованному сообщению от компании Cisco, сотни тысяч устройств в сети по всему миру уязвимы благодаря технологии Smart Install. Эта технология позволяет позволяет для нового сетевого сетевого коммутатора автоматизировать процесс первоначальной конфигурации и загрузки актуального образа IOS.
О существовании проблемы сканирования на обнаружение незащищённых устройств с активированной Smart Install, команда Cisco информировала ещё в феврале 2017 года. Хотя тогда предполагалось что хакерские группировки могут воспользоваться Smart Instal для получения копий конфигураций устройств клиентов.
Сейчас же Cisco заявило, что в результате спешной атаки злоумышленники могут изменять файл конфигурации, перезагружать устройство принудительно, загружать новый образ IOS на устройство и выполнять команды CLI с высокими правами.
Устройства которые уязвимы к атаке, а точнее устройства которые используют технологию Smart Instal:
- Catalyst 4500 Supervisor Engines
- Catalyst 3850 Series
- Catalyst 3750 Series
- Catalyst 3650 Series
- Catalyst 3560 Series
- Catalyst 2960 Series
- Catalyst 2975 Series
- IE 2000
- IE 3000
- IE 3010
- IE 4000
- IE 4010
- IE 5000
- SM-ES2 SKUs
- SM-ES3 SKUs
- NME-16ES-1G-P
- SM-X-ES3 SKUs
Как бороться с уязвимостью Smart Instal?
- Отключить на сетевом устройстве функцию Smart Instal (SMI). Для этого:
Проверяем, активна ли функция SMI:
switch#show vstack config | inc Role
Если вывод Role: Client (SmartInstall enabled)
то функция активирована.
В режиме конфигурации вводим команду:
switch(config)#no vstack
2. навешиваем access control list (ACL) на все интерфейсы через которые можно получить доступ к управлению сетевым устройством.
switch(config)#ip access-list extended SMI_HARDENING_LIST
deny tcp any any eq 4786
permit ip any any