Атака Cisco Smart Install и другие - порядок действий для защиты

Атака Cisco Smart Install и другие - порядок действий для защиты
Относительно вчерашнего цископада уже написано немало как официальных статей, так и неофициальных заметок. Не буду и я исключением, поделюсь своими рекомендациями по действиям для защиты. Ведь в этом противостоянии исследователей уязвимостей и вендора должна появиться незаинтересованная объективная сторона.

28 марта опубликованы 2 уязвимости Smart Install:

Что интересно, на фоне большой шумихи с Cisco Smart Install почему-то обошли вниманием аналогичные уязвимости Cisco от 28 марта 2018:

То, что еще не опубликован и не используется массово эксплоит - не значит, что не нужно защищать устройства. Он наверняка есть, но у очень ограниченного количества людей. И действовать нужно именно на этом этапе, пока не поздно.
name='more'>
Рассматриваем защиту от эксплуатации уязвимостей Smart Install  CVE-2018-0156CVE-2018-0171 , QoS  CVE-2018-0151  и учетной записи cisco  CVE-2018-0150 .
Но стоит учесть, что остальные требования по  харденингу оборудования Cisco  также не стоит игнорировать.
Картинки по запросу secure server clipart
В итоге, могу порекомендовать всем, у кого есть оборудование Cisco в любом количестве, следующий порядок действий, который поможет минимизировать как текущую угрозу, так и возможный вред в будущем. 

Итак, ToDo:
  • Провести анализ подверженности своего оборудования вышеописанным уязвимостям. Сверить версии ПО для платформ с официально рекомендованными производителем как неуязвимые.
  • Провести анализ наличия взломанных устройств, фактов несанкционированного изменения конфигураций либо состояния устройств. Восстановить продуктивную конфигурацию. При необходимости - собрать логи для анализа и возможной передачи в правоохранительные органы.
  • Отключить функционал Cisco Smart Install командой "no vstack". 
  • Удалить пользователя по умолчанию "cisco".
  • Ограничить обработку пакетов с dst port UDP 18999, если dst ip принадлежит устройству.
  • Обновить устройства до рекомендованных версий ПО. Учесть необходимость остановки либо переключения трафика на время обновления.
  • Настроить мониторинг оборудования на предмет: 
- активации Cisco Smart Install (vstack) и порта TCP 4786/
- активации порта UDP 18999 в системе (listening)
- появления пользователя "cisco" в конфигурации
и интегрировать с системой инцидент-менеджмента организации. Даже если все устранить - в будущем баги могут появиться по причине человеческой ошибки, изменения поведения ПО либо появления нового бага. Поэтому важен и дальнейший процесс постоянного контроля защищенного состояния.


Alt text
История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed