В результате атаки отваливаются свитчи, падают сети и слетают настройки.
В Интернете зафиксирован всплеск активности бота, эксплуатирующего новую брешь на устройствах под Cisco IOS.
По данным наших источников, при обнаружении уязвимых устройств зловред удаляет их конфигурационный файл и записывает вместо него графическое изображение, напоминающее американский флаг, с надписью Do not mess with our elections («Не вмешивайтесь в наши выборы»).
Брешь CVE-2018-0171 была обнаружена в коде ПО для сетевых коммутаторов Cisco Smart Install Client, обеспечивающего управление образами и автоматическую конфигурацию новых устройств. Она позволяет принудительно перезагрузить устройство, выполнить на нем произвольный код или вызвать отказ сторожевого таймера.
Подробное описание уязвимости было опубликовано компанией в конце марта и дополнено 6 апреля. По данным производителя, в мире насчитывается более 168 000 потенциально подверженных ей устройств.
Чтобы защитить устройства, эксперты производителя рекомендуют деактивировать Smart Install Client командой no vstack либо ограничить доступ к коммутатору белым списком (ACL, Access Control List). Проверить, активна ли эта функция, можно командой show vstack config.
Кроме того, Cisco выпустила патч и соответствующие рекомендации по безопасности. Производитель советует ознакомиться с документом, прежде чем устанавливать обновления, а также убедиться, что аппаратное и программное обеспечение устройства совместимы с патчем и имеют достаточно свободной памяти. Поддержку клиентов в России Cisco осуществляет по следующим телефонам: