logoh

Уязвимость Cisco IOS и способы борьбы с ней.

С недавних в сети ИНТЕРНЕТ бушует ботнет-атака. В интернете все адреса сканируются ботом на наличие уязвимости в Cisco IOS, которая позволяет выполнять команды на устройствах Cisco удалённо. Найдя такое устройство, бот заходит на него и удаляет файл конфигурации, записывая вместо него свой.

Согласно опубликованному сообщению от компании Cisco, сотни тысяч устройств в сети по всему миру уязвимы благодаря технологии Smart Install. Эта технология позволяет позволяет для нового сетевого сетевого коммутатора автоматизировать процесс первоначальной конфигурации и загрузки актуального образа IOS.

О существовании проблемы сканирования на обнаружение незащищённых устройств с активированной Smart Install, команда Cisco информировала ещё в феврале 2017 года. Хотя тогда предполагалось что хакерские группировки могут воспользоваться Smart Instal для получения копий конфигураций устройств клиентов.

Сейчас же Cisco заявило, что в результате спешной атаки злоумышленники могут изменять файл конфигурации, перезагружать устройство принудительно, загружать новый образ IOS на устройство и выполнять команды CLI с высокими правами.

Устройства которые уязвимы к атаке, а точнее устройства которые используют технологию Smart Instal:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Как бороться с уязвимостью Smart Instal?

  1. Отключить на сетевом устройстве функцию Smart Instal (SMI). Для этого:

Проверяем, активна ли функция SMI:

switch#show vstack config | inc Role

Если вывод  Role: Client (SmartInstall enabled) то  функция активирована.

В режиме конфигурации вводим команду:

switch(config)#no vstack

2. навешиваем access control list (ACL) на все интерфейсы через которые можно получить доступ к управлению сетевым устройством.

switch(config)#ip access-list extended SMI_HARDENING_LIST
deny tcp any any eq 4786
permit ip any any