Атака Cisco Smart Install и другие - порядок действий для защиты

Атака Cisco Smart Install и другие - порядок действий для защиты
Относительно вчерашнего цископада уже написано немало как официальных статей, так и неофициальных заметок. Не буду и я исключением, поделюсь своими рекомендациями по действиям для защиты. Ведь в этом противостоянии исследователей уязвимостей и вендора должна появиться незаинтересованная объективная сторона.

28 марта опубликованы 2 уязвимости Smart Install:

Что интересно, на фоне большой шумихи с Cisco Smart Install почему-то обошли вниманием аналогичные уязвимости Cisco от 28 марта 2018:

То, что еще не опубликован и не используется массово эксплоит - не значит, что не нужно защищать устройства. Он наверняка есть, но у очень ограниченного количества людей. И действовать нужно именно на этом этапе, пока не поздно.
name='more'>
Рассматриваем защиту от эксплуатации уязвимостей Smart Install  CVE-2018-0156CVE-2018-0171 , QoS  CVE-2018-0151  и учетной записи cisco  CVE-2018-0150 .
Но стоит учесть, что остальные требования по  харденингу оборудования Cisco  также не стоит игнорировать.
В итоге, могу порекомендовать всем, у кого есть оборудование Cisco в любом количестве, следующий порядок действий, который поможет минимизировать как текущую угрозу, так и возможный вред в будущем. 

Итак, ToDo:
  • Провести анализ подверженности своего оборудования вышеописанным уязвимостям. Сверить версии ПО для платформ с официально рекомендованными производителем как неуязвимые.
  • Провести анализ наличия взломанных устройств, фактов несанкционированного изменения конфигураций либо состояния устройств. Восстановить продуктивную конфигурацию, сменить пароли и ключи. При необходимости - собрать логи для анализа и возможной передачи в правоохранительные органы.
  • Отключить функционал Cisco Smart Install командой "no vstack". 
  • Удалить пользователя по умолчанию "cisco".
  • Ограничить обработку пакетов с dst port UDP 18999, если dst ip принадлежит устройству.
  • Обновить устройства до рекомендованных версий ПО. Учесть необходимость остановки либо переключения трафика на время обновления.
  • Настроить мониторинг оборудования на предмет: 
  • - активации Cisco Smart Install (vstack) и порта TCP 4786/
  • - активации порта UDP 18999 в системе (listening)
  • - появления пользователя "cisco" в конфигурации
  • и интегрировать с системой инцидент-менеджмента организации. Даже если все устранить - в будущем баги могут появиться по причине человеческой ошибки, изменения поведения ПО либо появления нового бага. 
Поэтому чрезвычайно важен и дальнейший процесс постоянного контроля защищенного состояния.


Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed