Атака на оборудование Cisco: удобство, породившее уязвимость

Использую функцию Smart Install сетевой администратор может через Smart Install Client в удалённом режиме «залить» образ системы и настроить оборудование через порт TCP 4786. Так как перед выполнением этих действий не требуется дополнительная аутентификация, то возможностью «перезаписать» образ системы воспользовались хакеры.

Компания Cisco не согласна с тем, что наличие Smart Install в операционных системах CISCO IOS и IOS XE воспринимается как уязвимость. Несколько исследователей сообщили о возможности злонамеренного использования этой функции в процессе атаки, но в Cisco успокаивают пользователей, называя это «неправильное использование протокола Cisco Smart Install» – с таким заголовком было опубликовано сообщение компании в феврале 2017 года.

Функция Cisco Smart Install позволяет сетевому персоналу установить или переместить свитчи в режиме «zero-touch deployment»: разместить оборудование в запланированном месте, а «инсталляция» заключается в двух действиях – подключение к сетевой инфраструктуре и включение электропитания. Дальнейшая настройка реализована через удалённый доступ из центрального офиса (узла сети), где расположен «главный свитч», называемый integrated branch director (IBD).Иллюстрация для Cisco Smart Install

Все остальные маршрутизаторы являются «клиентами» (integrated branch clients (IBCs)). Компания Cisco поясняет, что не требуется непосредственного подключения «клиента» к «директору», но при этом «клиент» не должен находиться дальше семи «хопов».

«Директор» обнаруживает новое оборудование, включённое в сеть и определяет какой образ Cisco IOS и какой файл конфигурации потребуется для загрузки в память удалённо-подключенного оборудования. Поддержка Smart Install по умолчанию активирована на всех свитчах.

Для сканирования сетевого окружения и обнаружения активированного клиента Smart Install в феврале 2017 года Talos, исследовательская группа Cisco, предложила Talos Scanning Utility. На «картинке» с анонсом вы видели «251801» – это количество устройств Cisco с активным Smart Install Client в 2016 году, по последним данным таких устройств стало 168 тысяч.

Активность хакеров по сканированию адресов в расчёте на получение доступа к сетевому оборудованию возросла осенью 2017 года и сохраняется на высоком уровне (статистика в публикации от 5 апреля 2018 года в блоге Talos):Статистика активности по сканированию порта 4786

В США считают, что атаки, направленные в том числе на оборудование Cisco, организовали русские хакеры, но по сообщениям в форуме НАГ в числе пострадавших в апрельской «волне активности» отечественные операторы связи:Компания Solar Security сообщила об атаке и угрозе устройствам Catalyst 4500 Supervisor Engines, Catalyst 3850 Series, Catalyst 3750 Series, Catalyst 3650 Series, Catalyst 3560 Series, Catalyst 2960 Series, Catalyst 2975 Series, IE 2000, IE 3000, IE 3010, IE 4000, IE 4010, IE 5000, SM-ES2 SKUs, SM-ES3 SKUs, NME-16ES-1G-P, SM-X-ES3 SKUs.

«Лаборатория Касперского» в публикации от 6 апреля предположила, что для сканирования злоумышленники используют поисковик Shodan или утилиту Cisco. Защититься предлагается путём отключения Smart Install, для этого нужно применить команду «no vstack».

Нужно учесть, что «в некоторых релизах операционной системы это отключение будет работать до первой перезагрузки (в свитчах серий Cisco Catalyst 4500 и 4500-X при ОС 3.9.2E/15.2(5)E2; в свитчах Cisco Catalyst 6500 при версиях системы 15.1(2)SY11, 15.2(1)SY5 и 15.2(2)SY3; в свитчах Cisco Industrial Ethernet 4000 при версиях 15.2(5)E2 и 15.2(5)E2a; а также в свитчах Cisco ME 3400 и ME 3400E при версии 12.2(60)EZ11. Узнать версию используемой ОС можно, исполнив команду show version). В таком случае рекомендуется сменить версию или автоматизировать выполнение команды «no vstack».