Хакерська атака на техніку Cisco залишила без інтернету

Нещодавно в ПЗ Cisco IOS виявили потенційну вразливість, яке дозволяє здійснювати хакерські атаки, а також віддалено виконувати команди на комутаторах, випущених американської транснаціональної IT-компанії Cisco. В даний час вже зафіксована потужна атака по всьому світу, що призвела до відключення обладнання провайдерів від Інтернету, а також до збою в роботі дата-центрів і деяких веб-сайтів, серед яких значаться Facebook, Twitter, російські «Комсомольская правда» та «Фонтанка». Хакери створили бота, скануючого в інтернеті всі адреси. Після знаходження незахищених з’єднань він видаляв виставлені на комутаторі налаштування та змінював конфігураційний файл, в завершенні з’являлося послання з американським прапором, викладеним з символів ASCII: “Do not mess with our elections (Не втручайтеся в наші вибори)”.

Ідентифікатор, присвоєний уразливості, CVE-2018-0171. За шкалою Common Vulnerability Scoring System, або CVSS, вона набрала 9.8 бали. Проблеми з виходом в інтернет зараз є у багатьох ресурсів. Навіть у Twitter і Facebook. Вся справа в збої в хостингових налаштуваннях.

Під ударом опинилася технологія SMI, або Smart Install, яка дозволяє, налаштувавши автоматично конфігурацію мережевого комутатора, завантажувати для нього прошивку. Хакером вистачало відсканувати пристрій з відкритого порту 4786.

Корпорація Cisco випустила офіційне попередження про уразливості сотень тисяч пристроїв її виробництва через проломи, наявні в SMI. Відповідні виправлення вже випущені. Правда, компанії ще не встигли скористатися патчами.

За наявною у експертів інформацією, відкритий порт 4786 є у 8.5 мільйонів комутаторів від Cisco. Патчі ж встановлені лише на 250 тисяч з них. Виробник опублікував прохання про максимально швидке встановлення виправлень або відключення протоколу SMI. За даними Cisco Talos, в поточний момент в Мережі доступно 168 тис. комутаторів з підтримкою SMI.