Атаки на уязвимые устройства Cisco спровоцировали проблемы с интернетом в Иране и России - «Новости»
sitename
«Эпический» сериал Netflix по Assassin’s Creed впервые за несколько лет подал признаки жизни - «Новости сети»
«Эпический» сериал Netflix по Assassin’s Creed впервые за несколько лет подал признаки жизни - «Новости сети»
 «Хуже моего самого страшного кошмара»: утечка геймплея с тестирования новой The Sims ужаснула фанатов - «Новости сети»
«Хуже моего самого страшного кошмара»: утечка геймплея с тестирования новой The Sims ужаснула фанатов - «Новости сети»
 Самые полные издания Borderlands 3 и Diablo III добавят в Game Pass, а лучшая игра 2024 года по версии 3DNews подписку скоро покинет - «Новости сети»
Самые полные издания Borderlands 3 и Diablo III добавят в Game Pass, а лучшая игра 2024 года по версии 3DNews подписку скоро покинет - «Новости сети»
 Amazon включилась в борьбу за американский бизнес TikTok - «Новости сети»
Amazon включилась в борьбу за американский бизнес TikTok - «Новости сети»
 «Яндекс» представил «Нейроэксперта» — ИИ, который соберёт базу знаний по ссылкам и файлам пользователя - «Новости сети»
«Яндекс» представил «Нейроэксперта» — ИИ, который соберёт базу знаний по ссылкам и файлам пользователя - «Новости сети»
 ZA/UM отреагировала на утечку «одиночной кооперативной игры» Locust City во вселенной Disco Elysium - «Новости сети»
ZA/UM отреагировала на утечку «одиночной кооперативной игры» Locust City во вселенной Disco Elysium - «Новости сети»
 GTA V вернётся в Game Pass, причём совсем скоро — впервые игра будет доступна в PC Game Pass - «Новости сети»
GTA V вернётся в Game Pass, причём совсем скоро — впервые игра будет доступна в PC Game Pass - «Новости сети»
 Обзор системы резервного копирования и восстановления данных «Кибер Бэкап Малый Бизнес» - «Новости сети»
Обзор системы резервного копирования и восстановления данных «Кибер Бэкап Малый Бизнес» - «Новости сети»
 Nintendo создала гибридный эмулятор Switch, но работать он будет только на Switch 2 - «Новости сети»
Nintendo создала гибридный эмулятор Switch, но работать он будет только на Switch 2 - «Новости сети»
 Лавкрафтианский хоррор Stygian: Outer Gods готовится к старту открытой «беты» — новый геймплейный трейлер - «Новости сети»
Лавкрафтианский хоррор Stygian: Outer Gods готовится к старту открытой «беты» — новый геймплейный трейлер - «Новости сети»
Новости мира Интернет » Новости » Атаки на уязвимые устройства Cisco спровоцировали проблемы с интернетом в Иране и России - «Новости»

✔Атаки на уязвимые устройства Cisco спровоцировали проблемы с интернетом в Иране и России - «Новости»

09 апреля 2018 782 Новости 0

На прошлой неделе мы рассказывали о критической уязвимости CVE-2018-0171, которая была обнаружена в составе Cisco IOS Software и Cisco IOS XE Software и набрала 9,8 балла по шкале CVSS. Проблема связана с некорректной валидацией пакетов в клиенте Cisco Smart Install (SMI). Так как разработчики Cisco уже выпустили патчи для обнаруженного бага, исследователи опубликовали не только описание проблемы, но и proof-of-concept эксплоит. Для эксплуатации этой проблемы атакующему достаточно обратиться к TCP-порту 4786, который открыт по умолчанию, что в итоге ставит уязвимые коммутаторы Cisco перед угрозой перед неаутентифицированной RCE-атаки.


Кроме того, на прошлой неделе эксперты Cisco Talos опубликовали предупреждение, так же связанное с SMI, однако не имеющее отношения к вышеупомянутой уязвимости. Специалисты предупреждали, что правительственные хакеры атакуют неправильно сконфигурированные устройства Cisco. По информации компании, администраторы зачастую не отключают протокол Smart Install должным образом, в результате чего устройства постоянно находятся в режиме ожидания новых команд на установку и конфигурацию. Так, массовые сканирования, призванные обнаружить коммутаторы с открытыми портами 4786 начались еще в феврале 2017 года, прекратились в октябре 2017 года, а затем возобновились текущей весной.


В частности, аналитики Cisco Talos ссылались на недавнее предупреждение US-CERT, в котором сообщалось, что связанные с российскими властями хак-группы, известные под кодовыми именами Dragonfly, Crouching Yeti и Energetic Bear, пытаются атаковать объекты ключевой инфраструктуры США.


В минувшую пятницу и субботу стало понятно, что ИБ-эксперты предупреждали об опасности совсем не зря. Хакерская группа, судя по всему, называющая себя JHT, атаковала уязвимые устройства Cisco, сосредоточив свои усилия на Иране и России. Одними из первых на происходящее обратили внимание специалисты «Лаборатории Касперского».


«Некая группировка использует уязвимость в программе под названием Cisco Smart Install Client, чтобы получить возможность исполнять произвольный код на устройстве. Злоумышленники перезаписывают образ системы Cisco IOS и меняют конфигурационный файл, оставляя в нем послание «Do not mess with our elections» («Не вмешивайтесь в наши выборы»)», — сообщили аналитики «Лаборатории Касперского» и проиллюстрировали свои слова скриншотом, которой можно увидеть ниже.





Эксперты предположили, что атакующие используют для поиска уязвимых девайсов поисковик Shodan или даже собственную утилиту Cisco. Так как, по данным Cisco Talos, таким образом можно обнаружить более 168 000 устройств с активным SMI, проблем с выбором целей у злоумышленников определенно не возникло.


По данным Reuters, иранское Министерство информационно-коммуникационных технологий насчитало более 200 000 пострадавших от атак устройств по всему миру, из которых 3500 находятся на территории Ирана.


Журналистам издания Vice Motherboard удалось связаться с хакерами по указанному в их сообщениях email-адресу и задать несколько вопросов. Атакующие утверждают, что «просто хотели послать сообщение» и атаковали Россию и Иран в ответ на многочисленных атаки со стороны «правительственных хакеров» этих стран (на США и не только). Кроме того, злоумышленники уверяют, что сканировали и другие страны, но в США и Великобритании использовали команду no vstack, отключая Smart Install и таким образом защищая ранее уязвимые коммутаторы.


Фото: ERIC GAILLARD/REUTERS  



Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

На прошлой неделе мы рассказывали о критической уязвимости CVE-2018-0171, которая была обнаружена в составе Cisco IOS Software и Cisco IOS XE Software и набрала 9,8 балла по шкале CVSS. Проблема связана с некорректной валидацией пакетов в клиенте Cisco Smart Install (SMI). Так как разработчики Cisco уже выпустили патчи для обнаруженного бага, исследователи опубликовали не только описание проблемы, но и proof-of-concept эксплоит. Для эксплуатации этой проблемы атакующему достаточно обратиться к TCP-порту 4786, который открыт по умолчанию, что в итоге ставит уязвимые коммутаторы Cisco перед угрозой перед неаутентифицированной RCE-атаки. Кроме того, на прошлой неделе эксперты Cisco Talos опубликовали предупреждение, так же связанное с SMI, однако не имеющее отношения к вышеупомянутой уязвимости. Специалисты предупреждали, что правительственные хакеры атакуют неправильно сконфигурированные устройства Cisco. По информации компании, администраторы зачастую не отключают протокол Smart Install должным образом, в результате чего устройства постоянно находятся в режиме ожидания новых команд на установку и конфигурацию. Так, массовые сканирования, призванные обнаружить коммутаторы с открытыми портами 4786 начались еще в феврале 2017 года, прекратились в октябре 2017 года, а затем возобновились текущей весной. В частности, аналитики Cisco Talos ссылались на недавнее предупреждение US-CERT, в котором сообщалось, что связанные с российскими властями хак-группы, известные под кодовыми именами Dragonfly, Crouching Yeti и Energetic Bear, пытаются атаковать объекты ключевой инфраструктуры США. В минувшую пятницу и субботу стало понятно, что ИБ-эксперты предупреждали об опасности совсем не зря. Хакерская группа, судя по всему, называющая себя JHT, атаковала уязвимые устройства Cisco, сосредоточив свои усилия на Иране и России. Одними из первых на происходящее обратили внимание специалисты «Лаборатории Касперского». «Некая группировка использует уязвимость в программе под названием Cisco Smart Install Client, чтобы получить возможность исполнять произвольный код на устройстве. Злоумышленники перезаписывают образ системы Cisco IOS и меняют конфигурационный файл, оставляя в нем послание «Do not mess with our elections» («Не вмешивайтесь в наши выборы»)», — сообщили аналитики «Лаборатории Касперского» и проиллюстрировали свои слова скриншотом, которой можно увидеть ниже. Эксперты предположили, что атакующие используют для поиска уязвимых девайсов поисковик Shodan или даже собственную утилиту Cisco. Так как, по данным Cisco Talos, таким образом можно обнаружить более 168 000 устройств с активным SMI, проблем с выбором целей у злоумышленников определенно не возникло. По данным Reuters, иранское Министерство информационно-коммуникационных технологий насчитало более 200 000 пострадавших от атак устройств по всему миру, из которых 3500 находятся на территории Ирана. Журналистам издания Vice Motherboard удалось связаться с хакерами по указанному в их сообщениях email-адресу и задать несколько вопросов. Атакующие утверждают, что «просто хотели послать сообщение» и атаковали Россию и Иран в ответ на многочисленных атаки со стороны «правительственных хакеров» этих стран (на США и не только). Кроме того, злоумышленники уверяют, что сканировали и другие страны, но в США и Великобритании использовали команду no vstack, отключая Smart Install и таким образом защищая ранее уязвимые коммутаторы. Фото: ERIC GAILLARD/REUTERS Источник новости - google.com
CSS, Cisco уязвимые устройства Smart SMI
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация