Относительно вчерашнего цископада уже написано немало как официальных статей, так и неофициальных заметок. Не буду и я исключением, поделюсь своими рекомендациями по действиям для защиты. Ведь в этом противостоянии исследователей уязвимостей и вендора должна появиться незаинтересованная объективная сторона.
28 марта опубликованы 2 уязвимости Smart Install:
Что интересно, на фоне большой шумихи с Cisco Smart Install почему-то обошли вниманием аналогичные уязвимости Cisco от 28 марта 2018:
- Выполнения произвольного кода сервиса QoS CVE-2018-0151.
- Получения несанкционированного привилегированного доступа к интерфейсу управления устройством с использованием учетной записи по умолчанию CVE-2018-0150.
То, что еще не опубликован и не используется массово эксплоит - не значит, что не нужно защищать устройства. Он наверняка есть, но у очень ограниченного количества людей. И действовать нужно именно на этом этапе, пока не поздно.
name='more'>Рассматриваем защиту от эксплуатации уязвимостей Smart Install CVE-2018-0156, CVE-2018-0171, QoS CVE-2018-0151 и учетной записи cisco CVE-2018-0150.
Но стоит учесть, что остальные требования по харденингу оборудования Cisco также не стоит игнорировать.
В итоге, могу порекомендовать всем, у кого есть оборудование Cisco в любом количестве, следующий порядок действий, который поможет минимизировать как текущую угрозу, так и возможный вред в будущем.
Итак, ToDo:
- Провести анализ подверженности своего оборудования вышеописанным уязвимостям. Сверить версии ПО для платформ с официально рекомендованными производителем как неуязвимые.
- Провести анализ наличия взломанных устройств, фактов несанкционированного изменения конфигураций либо состояния устройств. Восстановить продуктивную конфигурацию. При необходимости - собрать логи для анализа и возможной передачи в правоохранительные органы.
- Отключить функционал Cisco Smart Install командой "no vstack".
- Удалить пользователя по умолчанию "cisco".
- Ограничить обработку пакетов с dst port UDP 18999, если dst ip принадлежит устройству.
- Обновить устройства до рекомендованных версий ПО. Учесть необходимость остановки либо переключения трафика на время обновления.
- Настроить мониторинг оборудования на предмет:
- активации Cisco Smart Install (vstack) и порта TCP 4786/
- активации порта UDP 18999 в системе (listening)
- появления пользователя "cisco" в конфигурации
и интегрировать с системой инцидент-менеджмента организации. Даже если все устранить - в будущем баги могут появиться по причине человеческой ошибки, изменения поведения ПО либо появления нового бага. Поэтому важен и дальнейший процесс постоянного контроля защищенного состояния.
