По всему интернету проходит хакерская атака, использующая уязвимость в Cisco

отметили
29
человек
в архиве

Сегодня вечером ряд провайдеров и сайтов сообщили о неполадках в работе из-за хакерской атаки на оборудование Cisco. Об этом сообщает TJ со ссылкой на Telegram-канал «IT уголовные дела СОРМ россиюшка». Оборудование Cisco использует большинство провайдеров. Уязвимость же позволяет хакерам получать к нему удалённый доступ.

В России уже пострадали несколько провайдеров, а также хостинг RuWeb и сайты «Фонтанки» и 47news.

По данным издания, о проблемах в работе сообщили провайдеры в Королёве, Железногорске, хостинг RuWeb, провайдер Imaqlic, сайты изданий «Фонтанка» и 47news, недоступен сайт «Комсомольской правды». О неполадках из-за «технических работ» у провайдера сообщил московский театр «Современник». На проблемы жалуются абоненты московского оператора «Скайнет», RiNet, МГТС и «Акадо».

Как словам экспертов из Embedi, уязвимость работает для неаутентифицированных RCE-атак. В мире, по их данным, минимум 8,5 миллионов устройств, уязвимых для подобных атак. Cisco уже опубликовала патч, решающий проблему, но он установлен далеко не на все устройства. Сама компания назвала проблему критической.

По мнению экспертов, бот сканирует адреса провайдеров и устройств по всему миру в поисках уязвимости. Если он обнаруживает дыру, то стирает конфигурацию и оставляет «послание» в виде американского флага.

источник: rest.s3for.me

Добавил dbond dbond 7 Апреля
проблема (1)
Комментарии участников:
dbond
+3
dbond, 7 Апреля , url

По всему миру хакеры атакуют провайдеров и сайты, используя уязвимость Cisco. Другими словами, лежит не Twitter, а провайдеры

lentach.media/21ad

dbond
+4
dbond, 7 Апреля , url

Информация о проблеме от Касперского:

Для админов: что с этим делать
Изначально, функция Smart Install задумывалась как инструмент, который облегчает жизнь администраторам. Она позволяет конфигурировать устройство и заливать на него образ системы удаленно. То есть устанавливаете на объекте оборудование и настраиваете все из центрального офиса — это называется Zero Touch Deployment. Для этого на нем должен работать Smart Install Client и должен быть открыт порт TCP 4786 (а по умолчанию все так и есть: Smart Install включен, порт открыт).

Для того, чтобы проверить, работает ли на вашем оборудовании Smart Install, можно исполнить на свитче команду show vstack config. Если ответ покажет, что Smart Install включен, то рекомендуется отключить его при помощи команды no vstack.

В некоторых релизах операционной системы это отключение будет работать до первой перезагрузки (в свитчах серий Cisco Catalyst 4500 и 4500-X при ОС 3.9.2E/15.2(5)E2; в свитчах Cisco Catalyst 6500 при версиях системы 15.1(2)SY11, 15.2(1)SY5 и 15.2(2)SY3; в свитчах Cisco Industrial Ethernet 4000 при версиях 15.2(5)E2 и 15.2(5)E2a; а также в свитчах Cisco ME 3400 и ME 3400E при версии 12.2(60)EZ11. Узнать версию используемой ОС можно, исполнив команду show version). В таком случае рекомендуется сменить версию или автоматизировать выполнение команды no vstack.

Если ваши бизнес-процессы не позволяют отключить Smart Install или в вашей версии системы нет команды no vstack (а такое может быть — она была добавлена одним из патчей), то придется ограничить подключения к порту 4786. Cisco рекомендует делать это при помощи листов контроля доступа к интерфейсу – так, чтобы по этому порту могло общаться только доверенное устройство (в примере оно находится по адресу 10.10.10.1).
Пример:

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

Подробнее прочитать про эту уязвимость можно по ссылкам: здесь и вот тут.

 

www.kaspersky.ru/blog/cisco-apocalypse/20136/



Войдите или станьте участником, чтобы комментировать