Podatność usługi Smart Install (SMI) – CVE-2018-0171, o której Cisco poinformowało pod koniec marca, została wykorzystana do ataków hakerskich na infrastrukturę sieciową w Iranie i innych krajach (mówi się o Rosji, Indiach, Chinach i Stanach Zjednoczonych). Irańska agencja IRMA podała, że atak dotknął 3500 przełączników w tym kraju. Hakerzy zdołali podmienić obraz IOS, w wyniku czego wyświetlany był specyficzny komunikat, a wszelkie działania urządzenia były zablokowane. Dostępne są exploity, które wykorzystują podatność.

O wzroście zainteresowania podatnością usługi SMI świadczy również wzrost liczby skanowań portu 4786, na którym działa usługa. Wykresy obrazujące trend opublikował m.in. Cisco Talos i ISC SANS. Oprócz podatności Cisco ostrzega przed możliwością wykorzystywania usługi Smart Install, która pozostała włączona na urządzeniach po zakończeniu ich instalacji, do szkodliwych działań.

CERT PSE zaleca administratorom sieci opartych na rozwiązaniach firmy Cisco:

  • identyfikację urządzeń, na których włączona jest usługa SMI (domyślnie włączona)
  • wyłączenie usługi tam, gdzie jest ona zbędna (komenda #no vstack)
  • ograniczenie dostępu do usługi jeśli jest ona niezbędna
  • monitorowanie ruchu na porcie 4786

Należy pamiętać, że zagrożenie dotyczy nie tylko przełączników widocznych z publicznej sieci Internet, ale również obecnych w zamkniętych sieciach wewnętrznych (w przypadku ataków typu man-in-the-middle) i nie należy go bagatelizować.

Więcej informacji:
https://www.reuters.com/article/us-iran-cyber-hackers/iran-hit-by-global-cyber-attack-that-left-u-s-flag-on-screens-idUSKBN1HE0MH
https://www.bleepingcomputer.com/news/security/iranian-and-russian-networks-attacked-using-ciscos-cve-2018-0171-vulnerability/