Департамент кіберполіції на постійній основі систематично проводить роз'яснювальну роботу серед населення щодо важливості вживання заходів забезпечення належного рівня захищеності інформаційних систем та їх елементів. Зокрема, постійно акцентується увага на необхідності регулярних оновлень програмного забезпечення, особливо такого, яке має безпосередній доступ до мережі Інтернет.
Однак, на превеликий жаль, багато хто нехтує елементарними правилами кібербезпеки та порадами, які надаються кіберполіцією. Це призводить до того, що злочинці, яким відомо про наявні недоліки у програмному забезпеченні, постійно скануючи мережу Інтернет, знаходять вразливі пристрої та вчиняють кібератаки, які можуть призводити до тяжких наслідків.
Так, останнім часом спеціалістами Департаменту виявлені численні факти протиправного втручання у роботу мережевого обладнання Cisco.
Як інструмент атаки використовується критична вразливість у коді Smart Install Client - переповнення буфера. Вказана вразливість дозволяє зловмисникові, у випадку вдалої атаки, віддалено виконувати довільний код, перезавантажувати пристрій, виконати application-level DoS. Вразливість є критичною, адже дозволяє отримати повний контроль над вразливим мережевим обладнанням та втручатись у внутрішню мережу. Більш детальну інформацію про вразливість можна отримати з офіційного ресурсу Cisco, а також з сайту CVE.
Smart Install, за своєю природою, є конфігурацією типу “plug-and-play” - технологія, призначена для швидкої конфігурації пристрою в комп'ютерних мережах. Він призначений для автоматизації процесу початкового налаштування і завантаження образів операційної системи (IOS, IOS XE) для нового мережевого комутатора. Крім того, ця технологія забезпечує резервне копіювання конфігурації, у випадку її зміни, і надає можливість «гарячої» заміни обладнання.
Безпосередньо вразливість знаходиться у коді Smart Install Client, який відповідно до специфікації технології, увімкнений за замовченням та відкриває порт 4786 TCP. Ця обставина свідчить про велику потенціалу загрозу таких атак.
За результатами проведеного аналізу фактів атак, а також моніторингу мережі Інтернет, до пристроїв, які мають вказану вразливість, можна віднести:
Catalyst 2960 Series
Catalyst 2975 Series
Catalyst 3560 Series
Catalyst 3650 Series
Catalyst 3750 Series
Catalyst 3850 Series
Catalyst 4500 Supervisor Engines
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
NME-16ES-1G-P
SM-ES2 SKUs
SM-ES3 SKUs
SM-X-ES3 SKUs
Незважаючи на наявну інформацію про вразливість та випущене виробником оновлення, кіберполіцією фіксуються непоодинокі випадки атак, із застосуванням зазначеної вразливості.
Рекомендації щодо виявлення вразливості у власній мережі:
За наявності у мережі обладнання Cisco із IP адресою, що маршрутизується в мережу Інтернет, та відкритим портом TCP 4786 — існує висока ймовірність що воно вразливо до зазначено виду атаки.
Перевірити власну мережу на наявність відповідних відкритих портів можна мережевим сканером, на прикладі “nmap”:
“nmap -p T:4786 10.0.0.0/24” (у цьому прикладі сканутсь вся мережа 10.0.0.1 - 10.0.0.255).
Також перевірку можна зробити сканером для пошуку цієї вразливості, розробленим Cisco Talos.
Безпосередньо на обладнанні Cisco для перевірки наявності Smart Install Client та відкритого порту, у терміналі обладнання необхідно виконати:
- switch>show vstack config
Role: Client (SmartInstall enabled) — свідчить про активований статус SmartInstall;
- switch>show tcp brief all
Local Address Foreign Address (state)
*.4786 *.* LISTEN
свідчить про відкритий порт TCP 4786.
Рекомендації щодо протидії атакам:
1. На WAN інтерфейс комутатора або маршрутизатора Cisco додати ACL що закриває доступ до порту TCP 4786. Якщо ваша мережа не потребує цього порту, то рекомендуємо закриту доступ до нього не тільки на цьому пристрої, а й на всю вашу мережу реальних IP адрес.
ip access-list extended Drop_smart_install_4786
deny tcp any any eq 4786
permit ip any any
2. За можливості, де-активувати SmartInstall на обладнанні.
switch#no vstack
3. Оновити програмне забезпечення обладнання
