forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая уязвимость в коммутаторах Cisco"
Отправлено opennews, 06-Апр-18 00:04

Компания Cisco предупредила (http://blog.talosintelligence.com/2018/04/critical-infrastru...) об устранении критической уязвимости (https://embedi.com/blog/cisco-smart-install-remote-code-exec.../) (CVE-2018-0171 (https://tools.cisco.com/security/center/content/CiscoSecurit...)) в коммутаторах с поддержкой технологии SMI (Smart Install), которая позволяет удалённо получить полный контроль над устройством без прохождения аутентификации.  Сообщается, что уже зафиксировано применение уязвимости для атак на крупных провайдеров и элементы критической инфраструктуры некоторых стран, поэтому администраторам рекомендуется срочно установить обновление или отключить в настройках технологию SMI, предназначенную для автоматизации начальной настройки  и загрузки прошивки для новых коммутаторов.
Проблема вызвана переполнением стека в коде Smart Install Client, которое может быть эксплуатировано через отправку специально оформленного сообщения на сетевой порт 4786, открытый по умолчанию. Уязвимость впервые была продемонстрирована на конкурсе GeekPWN 2017, на котором было показано как через данную проблему можно сбросить пароль команды "enable" и получить возможность выполнения команд в привилегированном режиме EXEC, а также перехватить транзитный трафик.

Проблема затрагивает различные модели коммутаторов Cisco, работающих под управлением Cisco IOS и Cisco IOS XE, включая Cisco Catalyst 2960,  2975, 3*50, 4500, IE 2000-5000, SM-ES2, SM-ES3, NME-16ES-1G-P и SM-X-ES3. Уязвимость устранена (https://tools.cisco.com/security/center/content/CiscoSecurit...) компаний Cisco в обновлении прошивки, выпущенном 28 марта (бесплатное обновление в том числе доступно для пользователей без сервисного договора).

Проблему усугубляет то, что используемый для атаки сетевой порт 4786 открыт по умолчанию и часто не закрывается администраторами межсетевым экраном. Поверхностное сканирование глобальной сети выявило  около 8.5 млн устройств с открытым сетевым портом 4786 из которых для 250 тысяч было подтверждено наличие уязвимости.

Для проверки наличия устройств с  SMI в своей подсети можно использовать команду:

   nmap -p T:4786 192.168.1.0/24

На коммутаторе для проверки включения SMI можно выполнить:

   switch>show vstack config
    Role: Client  - признак включения SmartInstall

Для блокирования уязвимости достаточно отключить vstack (команда "no vstack"). В качестве обходного пути защиты можно установить ACL для ограничения доступа к порту 4786:

   ip access-list extended SMI_HARDENING_LIST
        permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
        deny tcp any any eq 4786
        permit ip any any

URL: http://blog.talosintelligence.com/2018/04/critical-infrastru...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48400

Исходное сообщение
"Критическая уязвимость в коммутаторах Cisco" Отправлено opennews, 06-Апр-18 00:04
Компания Cisco предупредила (http://blog.talosintelligence.com/2018/04/critical-infrastru...) об устранении критической уязвимости (https://embedi.com/blog/cisco-smart-install-remote-code-exec.../) (CVE-2018-0171 (https://tools.cisco.com/security/center/content/CiscoSecurit...)) в коммутаторах с поддержкой технологии SMI (Smart Install), которая позволяет удалённо получить полный контроль над устройством без прохождения аутентификации. Сообщается, что уже зафиксировано применение уязвимости для атак на крупных провайдеров и элементы критической инфраструктуры некоторых стран, поэтому администраторам рекомендуется срочно установить обновление или отключить в настройках технологию SMI, предназначенную для автоматизации начальной настройки и загрузки прошивки для новых коммутаторов. Проблема вызвана переполнением стека в коде Smart Install Client, которое может быть эксплуатировано через отправку специально оформленного сообщения на сетевой порт 4786, открытый по умолчанию. Уязвимость впервые была продемонстрирована на конкурсе GeekPWN 2017, на котором было показано как через данную проблему можно сбросить пароль команды "enable" и получить возможность выполнения команд в привилегированном режиме EXEC, а также перехватить транзитный трафик. Проблема затрагивает различные модели коммутаторов Cisco, работающих под управлением Cisco IOS и Cisco IOS XE, включая Cisco Catalyst 2960, 2975, 3*50, 4500, IE 2000-5000, SM-ES2, SM-ES3, NME-16ES-1G-P и SM-X-ES3. Уязвимость устранена (https://tools.cisco.com/security/center/content/CiscoSecurit...) компаний Cisco в обновлении прошивки, выпущенном 28 марта (бесплатное обновление в том числе доступно для пользователей без сервисного договора). Проблему усугубляет то, что используемый для атаки сетевой порт 4786 открыт по умолчанию и часто не закрывается администраторами межсетевым экраном. Поверхностное сканирование глобальной сети выявило около 8.5 млн устройств с открытым сетевым портом 4786 из которых для 250 тысяч было подтверждено наличие уязвимости. Для проверки наличия устройств с SMI в своей подсети можно использовать команду: nmap -p T:4786 192.168.1.0/24 На коммутаторе для проверки включения SMI можно выполнить: switch>show vstack config Role: Client - признак включения SmartInstall Для блокирования уязвимости достаточно отключить vstack (команда "no vstack"). В качестве обходного пути защиты можно установить ACL для ограничения доступа к порту 4786: ip access-list extended SMI_HARDENING_LIST permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786 deny tcp any any eq 4786 permit ip any any URL: http://blog.talosintelligence.com/2018/04/critical-infrastru... Новость: https://www.opennet.ru/opennews/art.shtml?num=48400

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Cisco предупредила (http://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html) 
> об устранении критической уязвимости (https://embedi.com/blog/cisco-smart-install-remote-code-execution/) 
> (CVE-2018-0171 (https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2)) 
> в коммутаторах с поддержкой технологии SMI (Smart Install), которая позволяет удалённо 
> получить полный контроль над устройством без прохождения аутентификации.  Сообщается, 
> что уже зафиксировано применение уязвимости для атак на крупных провайдеров и 
> элементы критической инфраструктуры некоторых стран, поэтому администраторам рекомендуется 
> срочно установить обновление или отключить в настройках технологию SMI, предназначенную 
> для автоматизации начальной настройки  и загрузки прошивки для новых коммутаторов.

> Проблема вызвана переполнением стека в коде Smart Install Client, которое может быть 
> эксплуатировано через отправку специально оформленного сообщения на сетевой порт 4786, 
> открытый по умолчанию. Уязвимость впервые была продемонстрирована на конкурсе GeekPWN 
> 2017, на котором было показано как через данную проблему можно сбросить 
> пароль команды "enable" и получить возможность выполнения команд в привилегированном режиме 
> EXEC, а также перехватить транзитный трафик.

> Проблема затрагивает различные модели коммутаторов Cisco, работающих под управлением 
> Cisco IOS и Cisco IOS XE, включая Cisco Catalyst 2960,  
> 2975, 3*50, 4500, IE 2000-5000, SM-ES2, SM-ES3, NME-16ES-1G-P и SM-X-ES3. Уязвимость 
> устранена (https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2) 
> компаний Cisco в обновлении прошивки, выпущенном 28 марта (бесплатное обновление в 
> том числе доступно для пользователей без сервисного договора).

> Проблему усугубляет то, что используемый для атаки сетевой порт 4786 открыт по 
> умолчанию и часто не закрывается администраторами межсетевым экраном. Поверхностное сканирование 
> глобальной сети выявило  около 8.5 млн устройств с открытым сетевым 
> портом 4786 из которых для 250 тысяч было подтверждено наличие уязвимости.

> Для проверки наличия устройств с  SMI в своей подсети можно использовать 
> команду:

>    nmap -p T:4786 192.168.1.0/24

> На коммутаторе для проверки включения SMI можно выполнить:

>    switch>show vstack config 
>     Role: Client  - признак включения SmartInstall

> Для блокирования уязвимости достаточно отключить vstack (команда "no vstack"). В качестве 
> обходного пути защиты можно установить ACL для ограничения доступа к порту 
> 4786:

>    ip access-list extended SMI_HARDENING_LIST 
>         permit tcp host 10.10.10.1 
> host 10.10.10.200 eq 4786 
>         deny tcp any any 
> eq 4786 
>         permit ip any any

> URL: http://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=48400

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру