Критическая уязвимость открывает коммутаторы Cisco для удаленной атаки

Критическая уязвимость, затрагивающая многие сетевые устройства Cisco, может быть использована удаленными злоумышленниками, не прошедшими проверку подлинности, для захвата уязвимых устройств или запуска перезагрузки и сбоя.

CVE-2018-0171

Компания заявляет, что уязвимость активно не используется в дикой природе, но поскольку информация о ней и коде Proof-of-Concept уже опубликованы, сетевым администраторам было бы неплохо установить выпущенные обновления безопасности как можно скорее.

Об уязвимости (CVE-2018-0171)

Недостаток был обнаружен исследователями Embedi почти год назад. Это уязвимость переполнения буфера в стеке, присутствующая в функции Smart Install программного обеспечения Cisco IOS и Cisco IOS XE.

«Интеллектуальная установка - это конфигурация« по принципу «подключи и работай» »и функция управления изображениями, которая обеспечивает развертывание« без касания »для новых коммутаторов (обычно уровня доступа), - поясняет Cisco .

«Эта функция позволяет заказчику отправить коммутатор Cisco в любое место, установить его в сети и включить его без дополнительных требований к конфигурации. Функция Smart Install не включает в себя аутентификацию.

Уязвимость может быть использована путем отправки специально созданного сообщения Smart Install на уязвимое устройство через TCP-порт 4786.

Уязвимые устройства

Исследователи Embedi подтвердили, что недостаток обнаружен в Catalyst 4500 Supervisor Engine, коммутаторах Cisco Catalyst серии 3850 и коммутаторах Cisco Catalyst серии 2960, но множество других устройствпотенциально уязвимы.

Cisco говорит, что это влияет на устройства, на которых установлена ​​уязвимая версия программного обеспечения Cisco IOS или IOS XE и у которых включена функция клиента Smart Install.

«Сеть Smart Install состоит из одного коммутатора или маршрутизатора Smart Install, также известного как интегрированный директор филиала (IBD), и одного или нескольких клиентских коммутаторов Smart Install, также называемых интегрированными клиентами филиала (IBC). Клиентский коммутатор не должен быть напрямую связан с директором; клиентский коммутатор может находиться на расстоянии до семи переходов », - отметили в Cisco. «Эта уязвимость затрагивает только клиентские коммутаторы Smart Install».

Программное обеспечение Cisco IOS XR или программное обеспечение Cisco NX-OS не затрагивается.

Как Cisco, так и Embedi предоставили инструкции о том, как проверить, является ли устройство уязвимым (т. Е. Как проверить выпуск программного обеспечения, включена ли функция Smart Install Client и открыт ли вышеупомянутый порт).

Сколько там уязвимых устройств?

«После обнаружения уязвимости мы решили, что ее можно использовать только для атак внутри корпоративной сети. Потому что в безопасной конфигурации сети участники технологии Smart Install не должны быть доступны через Интернет », - отмечают исследователи Embedi.

«Но сканирование Интернета показало, что это не так. Во время короткого сканирования Интернета мы обнаружили 250 000 уязвимых устройств и 8,5 миллиона устройств с открытым уязвимым портом. Возможно, это происходит потому, что на клиентах Smart Install порт TCP (4786) открыт по умолчанию, и сетевые администраторы этого как-то не замечают ».

Поскольку не существует обходных путей для устранения недостатка, и код эксплойта PoC стал доступен, администраторам рекомендуется внедрить предложенные обновления.

ОБНОВЛЕНИЕ (5 АПРЕЛЯ 2018 ГОДА):

И если вам нужно больше причин для удаления Cisco Smart Install Client со всех устройств, где он не используется, Cisco поделилась более подробной информацией об активных атаках, которые используют эту проблему злоупотребления протоколом (как они ее называют) в клиенте, и предложила рекомендации по смягчению последствий.

Источник: https://video24.org/

9 июля, Рекламная статья