09/04/2018

Co się stało z internetem, czyli atak na switche Cisco

Zagrożenia

Jeśli ostatnio Twoje połączenie z internetem zostało nagle przerwane, a Twoje ulubione strony były niedostępne, to mógł nie być przypadek. Według naszych informacji switche Cisco — te, które są używane w centrach danych na całym świecie — padły ofiarą zmasowanego ataku.

Bot, który poluje na urządzenia Cisco

Atak miał najprawdopodobniej następujący schemat działania: nieznane jeszcze zagrożenie wykorzystało lukę w oprogramowaniu o nazwie Cisco Smart Install Client, dzięki któremu mogło uruchomić dowolny kod na dziurawych przełącznikach sieciowych. Następnie atakujący nadpisali na nich obraz systemu operacyjnego Cisco IOS i zmienili plik konfiguracyjny, dodając komunikat „Do not mess with our elections” (ang. Nie mieszajcie się w nasze wybory). W efekcie przełącznik stawał się niedostępny.

Wygląda na to, że bot lokalizował dziurawe switche Cisco przy użyciu silnika wyszukiwania Internetu Rzeczy Shodan i wykorzystywał znalezione w nich luki (a być może używał własnego narzędzia Cisco, którego celem jest wyszukiwanie dziurawych przełączników). Po znalezieniu podatnego urządzenia wykorzystywane było oprogramowanie Smart Install Client, które zmieniało konfigurację, przez co wyłączany był kolejny segment internetu. Wskutek takiego działania niedostępne stały się wybrane centra danych, co z kolei wyłączyło niektóre popularne strony.

Według raportu Cisco Talos lukę tę posiada ponad 168 tys. urządzeń, które można znaleźć poprzez wyszukiwarkę Shodan. Skala ataku nie została jeszcze oszacowana, ale był on raczej szeroki – dotknął dostawców internetu i centra danych. Prawdopodobnie był on wymierzony w rosyjskojęzyczny segment internetu, choć inne segmenty również ucierpiały, w mniejszym lub większym stopniu.

Cały czas analizujemy atak i zaktualizujemy ten post, gdy uda nam się ustalić więcej szczegółów.

Wskazówki dla administratorów systemów

Początkowo funkcja Smart Install miała być instrumentem ułatwiającym życie administratorom systemów. Umożliwia ona zdalną konfigurację i zarządzenie obrazem systemu operacyjnego na switchach Cisco. Inaczej mówiąc, umożliwia zainstalowanie sprzętu na zdalnej stronie i skonfigurowanie wszystkiego z siedziby głównej — tzw. instalacja bezdotykowa. Aby była ona możliwa, należy włączyć klienta Smart Install Client oraz otworzyć port TCP 4786 (obie opcje są włączone domyślnie).

Domyślnie protokół Smart Install nie wymaga autoryzacji, dlatego nie do końca można klasyfikować go w kategorii luki. Firma Cisco nazywa tę sytuację nadużyciem protokołu Smart Install. W rzeczywistości problem leży w centrach danych, które nie mogą ograniczyć dostępu do portu TCP 4786 ani całkowicie wyłączyć Smart Install.

Aby sprawdzić, czy oprogramowanie Smart Install działa, uruchom polecenie „show vstack config” na swoim przełączniku sieciowym. Jeśli odpowiedź będzie pozytywna, będzie to oznaczało, że oprogramowanie Smart Install jest włączone; wówczas lepiej jest je wyłączyć poleceniem „no vstack”.

Jednak w niektórych wersjach systemu operacyjnego Cisco zadziała to tylko do chwili ponownego uruchomienia switcha (w urządzeniach Cisco Catalyst serii 4500 i 4500-X z systemem 3.9.2E/15.2(5)E2; Cisco Catalyst serii 6500 z wersjami systemu 15.1(2)SY11, 15.2(1)SY5 i 15.2(2)SY3; Cisco Industrial Ethernet serii 4000 z systemami 15.2(5)E2 i 15.2(5)E2a; Cisco serii ME 3400 i ME 3400E Ethernet Access z systemem operacyjnym 12.2(60)EZ11). W takim przypadku należy zaktualizować system do wyższej wersji (a może nawet wrócić do niższej) lub automatycznie uruchamiać polecenie „no vstack”. Aby wykryć, jaka jest używana wersja systemu operacyjnego, wprowadź polecenie „show version”.

Jeśli z jakichś powodów w firmie nie możesz wyłączyć oprogramowania Smart Install lub używana wersja systemu operacyjnego Cisco nie obsługuje polecenia „no vstack” (a jest to możliwe — została ona dodana w postaci łaty), ogranicz połączenia z portem 4786. Firma Cisco zaleca skorzystanie z poradników Interface Access Control Lists, aby ze switchami mogły łączyć się przez ten port tylko autoryzowane urządzenia. W poniższym przykładzie sprzęt ten znajduje się pod adresem IP 10.10.10.1.

Przykład:

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

Jeśli chcesz poznać więcej informacji na ten temat, zajrzyj tutaj.