Критическая уязвимость в коммутаторах Cisco

[virus_net]

https://www.opennet.ru/opennews/art.shtml?num=48400

05.04.2018 23:50 Критическая уязвимость в коммутаторах Cisco

Компания Cisco предупредила об устранении критической уязвимости (CVE-2018-0171) в коммутаторах с поддержкой технологии SMI (Smart Install), которая позволяет удалённо получить полный контроль над устройством без прохождения аутентификации. Сообщается, что уже зафиксировано применение уязвимости для атак на крупных провайдеров и элементы критической инфраструктуры некоторых стран, поэтому администраторам рекомендуется срочно установить обновление или отключить в настройках технологию SMI, предназначенную для автоматизации начальной настройки и загрузки прошивки для новых коммутаторов.

Проблема вызвана переполнением стека в коде Smart Install Client, которое может быть эксплуатировано через отправку специально оформленного сообщения на сетевой порт 4786, открытый по умолчанию. Уязвимость впервые была продемонстрирована на конкурсе GeekPWN 2017, на котором было показано как через данную проблему можно сбросить пароль команды "enable" и получить возможность выполнения команд в привилегированном режиме EXEC, а также перехватить транзитный трафик.

https://youtu.be/CE7KNK6UJuk

[virus_net]

https://xakep.ru/2018/04/06/smi-rce/

Вчера проблема докатилась до ММТС-9. Отродясь не видел там столько народу.
Полегло очень много девайсов, на вход в ММТС-9 была очередь, а консольный кабель был на вес золота.

Вот они последствия "plug-and-play"... Что далее ?

[virus_net]

https://tools.cisco.com/security/center ... 80328-smi2

Summary
A vulnerability in the Smart Install feature of Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote attacker to trigger a reload of an affected device, resulting in a denial of service (DoS) condition, or to execute arbitrary code on an affected device.

The vulnerability is due to improper validation of packet data. An attacker could exploit this vulnerability by sending a crafted Smart Install message to an affected device on TCP port 4786. A successful exploit could allow the attacker to cause a buffer overflow on the affected device, which could have the following impacts:
Triggering a reload of the device
Allowing the attacker to execute arbitrary code on the device
Causing an indefinite loop on the affected device that triggers a watchdog crash
Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability.

Determining Whether the Smart Install Client Feature Is Enabled
To determine whether a device is configured with the Smart Install client feature enabled, use the show vstack config privileged EXEC command on the Smart Install client. An output of Role: Client and Oper Mode: Enabled or Role: Client (SmartInstall enabled) from the show vstack config command confirms that the feature is enabled on the device.

The following examples show the output of the show vstack config command on Cisco Catalyst Switches that are configured as Smart Install clients:

Код: Выделить всё

switch1# show vstack config
 Role: Client (SmartInstall enabled)

switch2# show vstack config
 Capability: Client
 Oper Mode: Enabled
 Role: Client

Workarounds
There are no workarounds that address this vulnerability for customers who require the use of Cisco Smart Install. For customers not requiring Cisco Smart Install, the feature can be disabled with the

Код: Выделить всё

no vstack

command. In software releases that are associated with Cisco Bug ID CSCvd36820, Cisco Smart Install will auto-disable if not in use.

[virus_net]

https://forum.nag.ru/index.php?/topic/1 ... nt=1475634

откуда ветер дует

Крепко обиделись. Вот что делает промывание мозга...

[virus_net]

http://safe.cnews.ru/news/top/2016-11-1 ... ktah_intel

Россияне нашли зияющие «дыры» в продуктах Intel и Cisco
17.11.2016, ЧТ, 17:42, Мск , Текст: Валерия Шмырова
...skiped..
Проблемы протокола Cisco Smart Install

Специалист по анализу защищенности систем из компании Digital Security Александр Евстигнеев и сторонний эксперт Дмитрий Кузнецов на конференции ZeroNights 17 ноября 2016 г. заявили об архитектурных несовершенствах протокола Cisco Smart Install.
...skiped..
Реакция компании и меры безопасности

На уведомление Digital Security об обнаруженных проблемах протокола Cisco ответила, что это не уязвимость, а просто неправильное использование возможностей протокола, не предусматривающего аутентификации.

Пользователь, который не собирается работать с Cisco Smart Install, может отключить его, набрав в консоли команду «no vstack». Если протокол используется, следует проследить, чтобы сеть managment vlan была отделена от остальных.
...skiped..

Вы не любите кошек ? Вы просто не умеете их готовить !
Cisco удивляет меня все больше и больше. Понавключают все и вся по default`у, что надо и не надо, а ты, юзер, ищи и отключай.

[april22]

Это кстати, если мне не изменяет память.. Стандартный ответ от цисок, типа фишка такая.

[virus_net]

Просто ЛОЛ:

Роскомнадзор не обнаружил последствий масштабной кибератаки на Cisco

Источник: https://www.anti-malware.ru/news/2018-0 ... ware%5D%29

Апрельская кибератака глобальных масштабов на оборудование Cisco привлекла внимание Роскомнадзора. В результате ведомство приняло решение провести проверку работы российских операторов связи.
Оказалось, что атака не имела серьезных последствий для этого сегмента, затронув в основном лишь некрупные компании. Некоторые специалисты убеждены в том, что злоумышленники не ставили себе задачу нанести серьезный ущерб, скорее всего, имела места демонстрация возможностей.
Сообщается, что ведомство разослало операторам связи письма с пометкой «срочно». В этих письмах Роскомнадзор требовал как можно скорее предоставить информацию о последствиях кибератаки. Представителей службы в первую очередь интересовали перерывы в оказании услуг связи (их количество и продолжительность), а также число пострадавших от инцидента абонентов.
В Роскомнадзоре запрос этой информации подтвердили официальные представители. Также ситуацию прокомментировали некоторые интернет-провайдеры.
«Явных проблем в связи с атакой на оборудование Cisco у компании не было», — заявил представитель Virgin Connect kommersant.ru.
Напомним, что уязвимость в устройствах Cisco, которые используются во множестве дата-центров, привела к масштабным атакам. Фактически эта брешь оставила без интернета пол-России. Проблема известна под идентификатором CVE-2018-0171, именно ее искали сотни тысяч ботов, сканируя Сеть.
Удачная эксплуатация этой бреши позволяла злоумышленнику удаленно выполнить команды на устройствах. В процессе атакующий даже мог удалить конфигурацию устройства, записав вместо нее свои файлы.

[ded]

Россияне нашли зияющие «дыры» в продуктах Intel и Cisco
17.11.2016, ЧТ, 17:42, Мск , Текст: Валерия Шмырова
...skiped..
Проблемы протокола Cisco Smart Install

Россияне нашли зияющие КРОВОТОЧАЩИЕ «дыры»....
- Они вопиют!
- Кто? Россияне?
- Нет! Дыры!