Qrator: исследование уязвимости протокола Cisco Smart Install
Компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представила результаты исследования уязвимости в сетевых коммутаторах Cisco, проведенного с помощью сервиса глобального мониторинга Интернета Qrator.Radar.
6 апреля нынешнего года была запущена хакерская атака, направленная на сетевые коммутаторы Cisco. В прошивках устройств Cisco с поддержкой Smart Install была найдена уязвимость (cisco-sa-20180328-smi), позволившая злоумышленникам создать бота, который удалял текущую конфигурацию коммутатора, а вместо нее загружал послание в виде американского флага.
Специалисты Qrator.Radar проанализировали показатели трафика Qrator, основных точек обмена трафиком, а также изменения числа BGP-сессии у коллектора Radar и пришли к выводу, что существенного влияния на интернет-сегменты уязвимость не оказала. С помощью CIDR Report (Classless Inter-Domain Routing – метод бесклассовой адресации в сетях на основе IP-протокола) были получены данные, свидетельствующие о том, что ботнет вызвал синхронный сбой в работе около ста интернет-провайдеров, большинство из которых принадлежит Ирану.
Как отмечают в Qrator, инцидент снова привлек внимание к проблеме, что на оборудовании для маршрутизации трафика остается много открытых портов, к которым могут получить доступ злоумышленники. Конечно, эту конкретную уязвимость важно устранить, но выпущенный патч не создает фильтры ACL для закрытия порта 4786. Оборудование как Cisco, так и любого другого вендора не способны противостоять атакам SYN flood на открытый TCP-порт, превышающим 1 Гбайт трафика, они просто для этого не предназначены.
Согласно исследованию Qrator.Radar, в мире используется более 100 тыс. устройств с открытым портом 4786, принадлежащих почти 5000 различным автономным системам. Как было установлено с помощью сервиса Qrator.Radar, по количеству уязвимых устройств лидируют США, Китай и Япония. Кроме них в Top-10 стран с уязвимыми устройствами входят Канада, Финляндия, Франция, Дания, Великобритания, Тайвань и Швеция.
Qrator Labs рекомендует операторам связи убедиться в том, что их сетевые устройства не являются уязвимыми к возможным атакам.