Цископад: Cisco ASA в России проверили на CVE-2018-0101
Цископад в России
По всему миру в результате массовых атак на свитчи Cisco отключаются целые сегменты интернета. Уязвимость, через которую осуществляется атака, присутствует как минимум в 168 тыс. устройств. Мишенью хакеров, эксплуатирующих баг, стал рунет и объекты критической инфраструктуры России. Шестого апреля 2018 г. началась массированная хакерская атака на популярные свитчи компании Cisco, которая привела к отключению целых сегментов интернета. Как сообщила «Лаборатория Касперского», основной целью атак является рунет.
С помощью бота группа хакеров перезаписывает образ Cisco IOS, оставляя в конфигурационном файле сообщение «Do not mess with our elections» («Не вмешивайтесь в наши выборы»).
В основном мишенью атак стали значимые объекты критической информационной инфраструктуры России. Атака на эти объекты ведется в 20-30 раз интенсивнее, чем на обычные компании, и с большего количества адресов, что позволяет говорить об ее целенаправленности.
Атака стала возможна потому, что в прошивках Cisco IOS и Cisco IOS-XE была найдена уязвимость переполнения стека, которая позволяет атакующему удаленно выполнить на устройстве произвольный код и получить полный контроль над сетевым оборудованием. Уязвимость присутствует в коде Smart Install — функции автоматической настройки параметров для новых устройств, подключенных к сети.
Уязвимость была подтверждена для свитчей Cisco Catalyst серий 4500 Supervisor Engine, 3850 и 2960.
Потенциально уязвимыми также являются Cisco Catalyst серий 3750, 3650, 3560 и 2975, а также IE 2000, 3000, 3010, 4000, 4010 и 5000, SM-ES2 SKU, SM-ES3 SKU, NME-16ES-1G-P и SM-X-ES3 SKU.
По данным группы обнаружения угроз Cisco Talos, уязвимость охватывает около 168 тыс. свитчей по всему миру. Согласно исследованию ИБ-компании Tenable, их число достигает 251 тыс. Благодаря большому количеству затронутых устройств СМИ успели окрестить использование уязвимости «цископадом».
Технические особенности
С помощью функции Smart Install можно удаленно, без непосредственного присутствия администратора, настроить конфигурацию нового свитча и загрузить на него образ текущей ОС. С точки зрения Smart Install вся сеть выглядит как набор клиентских устройств, обслуживаемых общим свитчем Layer 3 или роутером, которые выполняет функции директора.
Директор управляет загрузкой образов и конфигураций на клиенты, которые подключены к нему прямым или непрямым образом. Уязвимость присутствует только на тех клиентских устройствах, на которых функция Smart Install активирована по умолчанию.
Клиент связывается с директором через порт TCP(4786), также открытый по умолчанию. Если в процессе этого сервер получает специально созданное вредоносное сообщение ibd_init_discovery_msg, то в функции smi_ibc_handle_ibd_init_discovery_msg возникает ошибка переполнения стека. Причиной возникновения ошибки становятся то, что размер данных, копируемых в буфер, не проверяется, при этом буфер имеет ограничение по объему. Данные и их объем берутся непосредственно из сетевого пакета и контролируются злоумышленником.
