Что случилось с Интернетом: атака на свитчи Cisco

Злоумышленники массово эксплуатируют уязвимости в свитчах Cisco и выводят из строя целые сегменты Интернета

У вас отвалился Интернет или вы не можете зайти на любимый сайт? Это неспроста: по данным наших источников, сейчас происходит массивная атака на свитчи Cisco, которые используются в дата-центрах практически повсеместно.

Бот, который охотится на «циски»

Похоже, что атака ведется примерно так. Некая группировка использует уязвимость в программе под названием Cisco Smart Install Client, чтобы получить возможность исполнять произвольный код на устройстве. Злоумышленники перезаписывают образ системы Cisco IOS и меняют конфигурационный файл, оставляя в нем послание «Do not mess with our elections» («Не вмешивайтесь в наши выборы»).

Похоже, что для атаки используется бот, сканирующий через поисковик интернета вещей Shodan или даже через собственную утилиту Cisco устройства на предмет наличия этой уязвимости и эксплуатирующий ее. Нашел очередной уязвимый свитч, переписал конфигурацию – вывел из строя сегмент сети. В результате целые дата-центры оказываются недоступными, что приводит и к недоступности многих популярных сайтов.

По данным Cisco Talos, в мире насчитывается более 168 000 устройств, подверженных этой уязвимости. Масштабы атаки пока не полностью ясны, но они могут быть очень серьезными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент Интернета, хотя и другим явно тоже досталось.

Пока что мы изучаем эту атаку, пост будет пополняться по мере обнаружения новых сведений.

Для админов: что с этим делать

Изначально, функция Smart Install задумывалась как инструмент, который облегчает жизнь администраторам. Она позволяет конфигурировать устройство и заливать на него образ системы удаленно. То есть устанавливаете на объекте оборудование и настраиваете все из центрального офиса — это называется Zero Touch Deployment. Для этого на нем должен работать Smart Install Client и должен быть открыт порт TCP 4786 (а по умолчанию все так и есть: Smart Install включен, порт открыт).

Протокол Smart Install изначально не поддерживает аутентификацию, поэтому еще вопрос, корректно ли называть это уязвимостью. Cisco, например, так не считает. Они называют это злонамеренным использованием протокола. По-сути это проблема датацентров, которые не ограничили доступ к TCP порту 4786 или не выключили Smart Install вовсе.

Для того, чтобы проверить, работает ли на вашем оборудовании Smart Install, можно исполнить на свитче команду show vstack config. Если ответ покажет, что Smart Install включен, то рекомендуется отключить его при помощи команды no vstack.

В некоторых релизах операционной системы это отключение будет работать до первой перезагрузки (в свитчах серий Cisco Catalyst 4500 и 4500-X при ОС 3.9.2E/15.2(5)E2; в свитчах Cisco Catalyst 6500 при версиях системы 15.1(2)SY11, 15.2(1)SY5 и 15.2(2)SY3; в свитчах Cisco Industrial Ethernet 4000 при версиях 15.2(5)E2 и 15.2(5)E2a; а также в свитчах Cisco ME 3400 и ME 3400E при версии 12.2(60)EZ11. Узнать версию используемой ОС можно, исполнив команду show version). В таком случае рекомендуется сменить версию или автоматизировать выполнение команды no vstack.

Если ваши бизнес-процессы не позволяют отключить Smart Install или в вашей версии системы нет команды no vstack (а такое может быть — она была добавлена одним из патчей), то придется ограничить подключения к порту 4786. Cisco рекомендует делать это при помощи листов контроля доступа к интерфейсу – так, чтобы по этому порту могло общаться только доверенное устройство (в примере оно находится по адресу 10.10.10.1).
Пример:

   ip access-list extended SMI_HARDENING_LIST
      permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
      deny tcp any any eq 4786
      permit ip any any

Подробнее прочитать про эту проблему можно здесь.

Доклад по эксплуатации Smart Install первым сделал Дмитрий Кузнецов на конференции Zeronights 2016.

Советы