IT-cпециалисты компании Embedi обнаружили уязвимость в программном обеспечении Cisco IOS, из-за которой коммутаторы компании могут быть подвержены неаутентифицированным атакам.

Как сообщается на сайте Embedi, уязвимость позволяет удаленно выполнять команды на устройствах Cisco (в частности зайти на устройство и удалить конфигурацию, записывая вместо нее свои файлы, или же спровоцировать перезагрузку устройства).

Уязвимость получила идентификатор CVE-2018-0171 и набрала 9,8 балла по шкале CVSS (Common Vulnerability Scoring System – система оценки уязвимостей).

Для эксплуатации уязвимости злоумышленнику нужно обратиться к TCP-порту 4786, который открыт по умолчанию. Проблема может использоваться также в качестве DoS-атаки (при этом уязвимые устройства войдут в бесконечный цикл перезагрузок).

По данным специалистов Embedi, в общей сложности удалось обнаружить в Сети более 8,5 млн устройств с открытым портом 4786. При этом патчи не установлены примерно на 250 тыс. из них.

Помимо этого, исследователи обнародовали два видеоролика, в которых продемонстрировали подобную кибератаку в жизни. В первом видео эксперты Embedi атакуют коммутатор Cisco Catalyst 2960, после чего меняют пароль и получают доступ к режиму EXEC.

Во втором видео специалисты Embedi перехватывают трафик между уязвимым коммутатором, устройствами, которые к нему подключены, и интернетом.

В Cisco уже обнародовали заявление, согласно которому тысячи устройств в Сети подвержены критической уязвимости через протокол Smart Install (SMI; предназначен для автоматической настройки коммутатора в начале работы, а также загрузки прошивки для новых коммутаторов). Уязвимость вызвана неправильной проверкой пакетных данных.

Разработчики Cisco уже выпустили патчи для обнаруженного бага.

Кроме того, в Cisco предупредили о последствиях неправильного использования протокола Smart Install. “Несколько инцидентов в разных странах, в том числе некоторые из которых касаются критически важной инфраструктуры, связаны с неправильным использованием протокола Smart Install”, – говорится в сообщении.

В компании объясняют, что администраторы часто не отключают протокол Smart Install должным образом. В результате устройства постоянно находятся в режиме ожидания новых команд. В Cisco обнаружили в Сети более 168 тысяч устройств с активным SMI. В связи с этим в компании обнародовали подробную инструкцию для администраторов, в которой предоставлены объяснения, как правильно отключить SMI, а также обнаружить уязвимые девайсы.

СПРАВКА. Cisco — американская транснациональная компания, разрабатывающая и продающая сетевое оборудование, предназначенное в основном для крупных организаций и телекоммуникационных предприятий. Одна из крупнейших в мире компаний, специализирующихся в области высоких технологий. Изначально занималась только корпоративными маршрутизаторами.

Группа исследователей обнаружила в мессенджере WhatsApp уязвимость, позволяющую получить доступ к чужим личным данным.
30 марта сообщалось, что операторы ботнета Hajime осуществили более 860 тыс. сканирований, целью которых был поиск уязвимых роутеров компании MikroTik.
21 марта участники ежегодного состязания “белых” хакеров Pwn2Own-2018 взломали браузеры Microsoft Edge, Apple Safari и Mozilla Firefox.