Уязвимость в коммутаторах Cisco позволила провести массовую хакерскую кампанию

Брешь в безопасности устройств Cisco с поддержкой Smart Install позволила злоумышленникам создать бота, сканирующего все адреса в Интернете. При обнаружении незащищённого коммутатора он забрасывает туда эксплойт, который удаляет текущую конфигурацию и записывает вместо неё послание в виде американского флага из знаков ASCII.

Атаки набирают обороты: от действий бота уже пострадали хостинг RuWeb, МГТС, сайт издательства «Фонтанка», Facebook и Twitter (социальные сети уже восстановили нормальный режим работы).

Уязвимость и быстрый патч

Cisco объявила о выходе обновления прошивки для коммутаторов на Cisco IOS и Cisco IOS XE, подверженных критической уязвимости в технологии Smart Install (SMI).

SMI предназначена для автоматической настройки коммутатора в начале работы, а также загрузки прошивки для новых коммутаторов. Уязвимость CVE-2018-0171 вызвана переполнением стека, а эксплуатировать её можно через открытый по умолчанию порт 4786.

Компания отметила, что в нескольких странах злоумышленники действительно использовали эту брешь для атак на критические системы инфраструктур. Cisco рекомендует пользователям установить обновление или отключить функцию Smart Install.

Этот патч входит в бесплатное обновление от 28 марта. 7 марта 2018 года Cisco выпустила серию патчей для ликвидации 22 брешей, две из которых признаны критическими и позволяют получить контроль над оборудованием. Однако, как отмечают эксперты, многие компании ещё не успели установить обновление безопасности, так что атаки продолжаются.

Это не первая массированная хакерская кампания в 2018 году. Напомним, что в конце февраля развернулись масштабные DDoS-атаки со стороны заражённых серверов утилиты Memcached. Злоумышленникам удалось «положить» серверы GitHub, а также установить новый мировой рекорд по мощности атак в секунду.