Департамент кіберполіції інформує про мережеві атаки

Департамент кіберполіції на постійній основі систематично проводить роз’яснювальну роботу серед населення щодо важливості вживання заходів забезпечення належного рівня захищеності інформаційних систем та їх елементів. Зокрема, постійно акцентується увага на необхідності регулярних оновлень програмного забезпечення, особливо такого, яке має безпосередній доступ до мережі Інтернет.

Однак, на превеликий жаль, багато хто нехтує елементарними правилами кібербезпеки та порадами, які надаються кіберполіцією. Це призводить до того, що злочинці, яким відомо про наявні недоліки у програмному забезпеченні, постійно скануючи мережу Інтернет, знаходять вразливі пристрої та вчиняють кібератаки, які можуть призводити до тяжких наслідків.

Так, останнім часом спеціалістами Департаменту виявлені численні факти протиправного втручання у роботу мережевого обладнання Cisco.

Як інструмент атаки використовується критична вразливість у коді Smart Install Client – переповнення буфера. Вказана вразливість дозволяє зловмисникові, у випадку вдалої атаки, віддалено виконувати довільний код, перезавантажувати пристрій, виконати application-level DoS. Вразливість є критичною, адже дозволяє отримати повний контроль над вразливим мережевим обладнанням та втручатись у внутрішню мережу. Більш детальну інформацію про вразливість можна отримати з офіційного ресурсу Cisco, а також з сайту CVE.

Smart Install, за своєю природою, є конфігурацією типу “plug-and-play” – технологія, призначена для швидкої конфігурації пристрою в комп’ютерних мережах. Він призначений для автоматизації процесу початкового налаштування і завантаження образів операційної системи (IOS, IOS XE) для нового мережевого комутатора. Крім того, ця технологія забезпечує резервне копіювання конфігурації, у випадку її зміни, і надає можливість «гарячої» заміни обладнання.

Безпосередньо вразливість знаходиться у коді Smart Install Client, який відповідно до специфікації технології, увімкнений за замовченням та відкриває порт 4786 TCP. Ця обставина свідчить про велику потенціалу загрозу таких атак.

За результатами проведеного аналізу фактів атак, а також моніторингу мережі Інтернет, до пристроїв, які мають вказану вразливість, можна віднести:

Catalyst 2960 Series

Catalyst 2975 Series

Catalyst 3560 Series

Catalyst 3650 Series

Catalyst 3750 Series

Catalyst 3850 Series

Catalyst 4500 Supervisor Engines

IE 2000

IE 3000

IE 3010

IE 4000

IE 4010

IE 5000

NME-16ES-1G-P

SM-ES2 SKUs

SM-ES3 SKUs

SM-X-ES3 SKUs

Незважаючи на наявну інформацію про вразливість та випущене виробником оновлення, кіберполіцією фіксуються непоодинокі випадки атак, із застосуванням зазначеної вразливості.

Рекомендації щодо виявлення вразливості у власній мережі:

За наявності у мережі обладнання Cisco із IP адресою, що маршрутизується в мережу Інтернет, та відкритим портом TCP 4786 — існує висока ймовірність що воно вразливо до зазначено виду атаки.

Перевірити власну мережу на наявність відповідних відкритих портів можна мережевим сканером, на прикладі “nmap”:

“nmap -p T:4786 10.0.0.0/24” (у цьому прикладі сканутсь вся мережа 10.0.0.1 – 10.0.0.255).

Також перевірку можна зробити сканером для пошуку цієї вразливості, розробленим Cisco Talos.

Безпосередньо на обладнанні Cisco для перевірки наявності Smart Install Client та відкритого порту, у терміналі обладнання необхідно виконати:

– switch>show vstack config

Role: Client (SmartInstall enabled) — свідчить про активований статус SmartInstall;

– switch>show tcp brief all

Local Address Foreign Address (state)

*.4786 *.* LISTEN

свідчить про відкритий порт TCP 4786.

Рекомендації щодо протидії атакам:

  1. На WAN інтерфейс комутатора або маршрутизатора Cisco додати ACL що закриває доступ до порту TCP 4786. Якщо ваша мережа не потребує цього порту, то рекомендуємо закриту доступ до нього не тільки на цьому пристрої, а й на всю вашу мережу реальних IP адрес.

ip access-list extended Drop_smart_install_4786

deny tcp any any eq 4786

permit ip any any

  1. За можливості, де-активувати SmartInstall на обладнанні.

switch#no vstack

  1. Оновити програмне забезпечення обладнання

 

0

Автор публікації

Офлайн 4 тижні

Ihor Romanets

0
Коментарі: 0Публікації: 203Реєстрація: 02-10-2017