Компания-разработчик сервисов для управления информационной безопасностью Solar Security сообщила о мощной ботнет-атаке.
«Все адреса сети Интернет сканируются на предмет наличия свежей уязвимости в программном обеспечении Cisco IOS (CVE-2018-0171, CVSS=9,8), позволяющей удаленно выполнять команды на устройствах Cisco. Бот заходит на устройство и удаляет конфигурацию, записывая вместо нее свои файлы. Проблема связана с некорректной валидацией пакетов в клиенте Cisco Smart Install (SMI). Чаще всего, атака фиксируется на оборудовании провайдеров»,— говорится в сообщении российской компании в Facebook.
Отмечается, что через эту уязвимость злоумышленники могут «извлечь файлы через протокол TFTP, изменить общий конфигурационный файл коммутатора, заменить образ ОС IOS, создать локальные учетные записи». При этом патчи для обнаруженной уязвимости уже выпущены Cisco. В качестве рекомендаций в компании предлагают отключить протокол SMI на сетевых устройствах и поставить последние обновления на уязвимые сетевые устройства.
Накануне об инцидентах в разных странах сообщила исследовательская группа Cisco — Talos Intelligence. В сообщении утверждается, что атаки могли быть организованы хакерами, спонсируемыми властями других государств. В частности, в компании напоминают о недавнем предупреждении Национального управления кибербезопасности Министерства внутренней безопасности США, в котором говорится о кибер-угрозах со стороны российского правительства.