Атака на коммутаторы Cisco вызвала сбой в работе ряда ресурсов в РФ

В минувшую пятницу, 6 апреля, хакерская группировка JHT атаковала критическую инфраструктуру ряда стран, включая Иран и Россию, что привело к сбою в работе ряда интернет-провайдеров, дата-центров и некоторых web-сайтов. В частности, о хакерских атаках сообщили новостные ресурсы «Комсомольская правда» и «Фонтанка». В атаках злоумышленники использовали уязвимость CVE-2018-0171 в сетевых коммутаторах Cisco с поддержкой технологии SMI (Smart Install). Хакеры перезаписывали образ системы Cisco IOS и меняли конфигурационный файл, оставляя в нем сообщение с текстом: «Don't mess with our elections....» (Не вмешивайтесь в наши выборы) и изображением американского флага.

В беседе с журналистом издания Motherboard представители группировки пояснили, что «устали от атак поддерживаемых государством хакеров на США и другие страны […] Мы просто хотели оставить послание».

На минувшей неделе специалисты команды Cisco Talos предупредили о том, что хакерские группировки используют уязвимость в коммутаторах Cisco с поддержкой протокола SMI для атак на объекты критической инфраструктуры по всему миру. По данным Talos, в Сети насчитывается 168 тыс. уязвимых устройств.

Согласно сообщению Министерства информации и телекоммуникаций Ирана, атака затронула 200 тыс. коммутаторов по всему миру, из них 3,5 тыс. расположены в Иране. По словам главы ведомства Мохаммада Джавада Азари Джахроми, атаке в основном подверглись объекты в Европе, Индии и США.

Как утверждают хакеры, они действительно сканировали множество стран на предмет уязвимых коммутаторов, включая Великобританию, США и Канаду, но атаковали только Иран и РФ. По их словам, они исправили проблему в уязвимых устройствах в США и Великобритании «для предотвращения дальнейших атак». Ранее специалисты Cisco опубликовали рекомендации по предотвращению эксплуатации проблемы, видимо, этими инструкциями и воспользовались «мстители».

«В результате в крупных странах практически не осталось уязвимых устройств», - утверждают хакеры.

Тем не менее, поиск Shodan показал, что по состоянию на субботу, 7 апреля, число уязвимых устройств сократилось всего с 168 тыс. до 166 тыс., из них 46 тыс. коммутаторов находятся в США.

Евгений Зорин, ведущий инженер по сетевым решениям LWCOM: Чтобы вы не оказались в числе тех, кто находится в зоне риска, и избежали атак на ваши объекты ИТ-инфраструктуры, необходимо соблюдать ряд правил. Назовем их правилами хорошего тона. Какие-то вам знакомы, например, использовать сложные пароли, осуществлять бэкап и т.д. Еще одним важным правилом хорошего тона является следующее: всегда выключать неиспользуемый функционал. Приобретая любое решение (в данном случае это коммутаторы Cisco), вы должны понимать, что производитель заранее не знает, где будет установлено его решение и как будет использоваться, соответственно настройки и сервисы в нем будут стоять по умолчанию, и их будет много. Далее уже ваша задача и ответственность определить, какие из технологий вам нужны, а какие нет – и отключить их при необходимости. Беда в том, что никто не смотрит, что находится по умолчанию, не читает документацию и руководства по настройке и защите, а потом становятся жертвами подобных атак. Другой вопрос, если вам нужна такая технология как SMI (Smart Install), что можно сделать в данном случае? Соблюсти еще одно правило хорошего тона: ограничить доступ к управлению этой технологией с рабочих компьютеров администраторов. Но на своем опыте могу заверить, что такая технология еще ни одному заказчику не была нужна. Не становитесь из-за своей лени или невнимательности жертвами атак – настраивайте решение под свои задачи, а лишние сервисы – отключайте. И напоследок, еще одно правило хорошего тона, которое следует соблюдать всегда - RTFM (Read the fucking manual).