Así es como los hackers dirigían los ataques a los switches de red de Cisco en Rusia e Irán
В чатике коллеги по цеху делятся пятничным дерьмом #CVE_2018_0171 #Cisco #RCE pic.twitter.com/zIV73w1Wpu
— 0xFF (@xnetua) April 6, 2018
حدود ۳۵۰۰ مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور متاثر از حمله شدهاند. عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. ضعف در اطلاع رسانی مرکز ماهر به شرکتها و نیز ضعف در پیکره بندی مراکز داده وجود داشته است
— MJ Azari Jahromi (@azarijahromi) April 7, 2018
Según los informes, el grupo de piratería está apuntando a instalaciones vulnerables de Cisco Smart Install Client, una utilidad plug-and-play heredada diseñada para ayudar a los administradores a configurar y desplegar equipos Cisco de forma remota, que está habilitada de forma predeterminada en los switches Cisco IOS e IOS XE y se ejecuta a través de un puerto TCP 4786.
A massive #attack with #Cisco OS vulnerability CVE-2018-0171 is in progress in #Iran, reseting network switches to factory defaults and shutting down networks. Major network failures, including large datacenters and ISPs. 1/X #Infosec #security
— Hamed Khoramyar (@Khoramyar) April 6, 2018
Sin embargo, dado que aparentemente el hack reajusta los dispositivos específicos, lo que los hace inaccesibles, Cisco cree que los hackers simplemente han usado mal el protocolo Smart Install para sobrescribir la configuración del dispositivo, en lugar de explotar una vulnerabilidad.
«Se puede abusar del protocolo Cisco Smart Install para modificar la configuración del servidor TFTP, filtrar archivos de configuración mediante TFTP, modificar el archivo de configuración, reemplazar la imagen IOS y configurar cuentas, lo que permite la ejecución de comandos IOS», explica la compañía.
La firma de seguridad china Qihoo 360 Netlab también confirma que esa campaña de piratería lanzada por el grupo JHT no involucra la vulnerabilidad de ejecución de código recientemente divulgada; en cambio, el ataque se debe a la falta de autenticación en el protocolo de instalación inteligente de Cisco, presentado en marzo del año pasado.
So we are back from Tombsweep festival and are able to take a close look at our honeypot on port 4786, what we saw indicates it actually has nothing to do with CVE-2018-0171, instead, it is using https://t.co/Smeqa3z1vu, which leads to CVE-2016-1349 pic.twitter.com/IgAa4rIwBy
— 360 Netlab (@360Netlab) April 8, 2018
Los administradores que no usan la característica de instalación inteligente de Cisco deben deshabilitarla por completo con el comando de configuración: «no vstack».
Aunque los ataques recientes no tienen nada que ver con CVE-2018-0171, los administradores aún son muy recomendables para instalar parches para abordar la vulnerabilidad, ya que con los detalles técnicos y la prueba de concepto (PoC) ya disponibles en Internet, los hackers podrían lanzar fácilmente su próximo ataque aprovechando este defecto.