Уязвимость в Cisco CVE-2018-017 или классическая пятница

Cisco Smart Install Remote Code Execution

Прямо сейчас (с ~19:00 по МСК ) все адреса в интернете ( региональные и не только провы приуныли, среди них Комфортел, М9,Пин телеком СПБ, хостинг RuWeb, МГТС, Imaqlic) сканирует бот, который использует свежую уязвимость (https://embedi.com/blog/cisco-smart-install-remote-code-exec...) в Cisco IOS, позволяющую удалённо выполнить команду на устройстве Cisco.

Бот заходит на устройство и удаляет конфигурацию, записывая вместо неё файл с посланием

Масштабы трагедии огромные, отваливаются сегменты или даже целые провайдеры (https://twitter.com/bgpstream)


Для эксплуатации уязвимости надо обратиться к открытому TCP-порту 4786 и вызвать переполнение буфера одной из функций. Из-за того, что данные не проверяются, скопированная информация из сетевого пакета вызывает срабатывание бага. Исследователи из Embedi опубликовали видео с тем, как работает дыра (https://youtu.be/CE7KNK6UJuk)


Устройства Cisco, которые уязвимы к этой атаке:

Catalyst 4500 Supervisor Engines

Catalyst 3850 Series

Catalyst 3750 Series

Catalyst 3650 Series

Catalyst 3560 Series

Catalyst 2960 Series

Catalyst 2975 Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 4010

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

За злых хакеров это делает (но это не точно) питоновский бот, который в следствии заменяет конфиг с приятным посланием внутри:

Уязвимость в Cisco CVE-2018-017 или классическая пятница Cisco, Cve-2018-017, Hack, Хакеры, Взлом, Цод, МГТС, Интернет, Длиннопост

В чатиках получали много информации прямо с мест:

Уязвимость в Cisco CVE-2018-017 или классическая пятница Cisco, Cve-2018-017, Hack, Хакеры, Взлом, Цод, МГТС, Интернет, Длиннопост

Собираем информацию, ждем отчетов и активно патчимся. Веселые выходные обеспечены.

UPD. [06.04.18 22:19]

4500-Х тоже аффектед

в списке там не было

И tj  не остался в стороне: https://tjournal.ru/68783-provaydery-po-vsemu-miru-okazalis-...

Баяны

275K поста14.6K подписчик

Правила сообщества

Сообщество для постов, которые ранее были на Пикабу.

110
Автор поста оценил этот комментарий

2018 год шёл переполнение буфера всё ещё актуально

раскрыть ветку (1)
82
Автор поста оценил этот комментарий

И дефлотные порты не закрывают на магистральных-то каналах.

показать ответы
50
Автор поста оценил этот комментарий

Вот за это я и не люблю кошек.

раскрыть ветку (1)
26
Автор поста оценил этот комментарий

зря вы его минусуете: cisco!=киски

показать ответы
9
Автор поста оценил этот комментарий

билайн по Мск в основном юзает 2960 циску, которая ложится мгновенно, остается только представить каков масштаб угара и треша там творится, если 2960 стоит в каждом 2-м доме в городе.

раскрыть ветку (1)
24
Автор поста оценил этот комментарий

Уууу

Иллюстрация к комментарию
показать ответы
18
Автор поста оценил этот комментарий

В ЦОДах день открытых дверей

Иллюстрация к комментарию
показать ответы
31
DELETED
Автор поста оценил этот комментарий

Хабра и гиктаймсы рассказывают про бостондинамикс и мессенджеры. Знал что найду здесь инфу.

раскрыть ветку (1)
17
Автор поста оценил этот комментарий

А ещё из-за провов накрылись кинотеатры, ТЦ и прочие.
Не то, чтобы апокалипсис, но в пятницу вечером — неприятно. Вот сейчас уже и СМИ подтянулись, статьи появляются. Скоро и хабр очнется. Но мы в Телеге следим уже с самого начала

показать ответы
13
Автор поста оценил этот комментарий

Комментарии подъехали: https://www.kaspersky.ru/blog/cisco-apocalypse/20136/

"По данным Cisco Talos, в мире насчитывается более 168 000 устройств, подверженных этой уязвимости. Масштабы атаки пока не полностью ясны, но они могут быть очень серьезными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент Интернета, хотя и другим явно тоже досталось."

Но мы-то знаем, что не только русскоязычный. Сообщений уже много отовсюду

показать ответы
1
Автор поста оценил этот комментарий

Крч от этого бота у простых людей падает домашний инет?

раскрыть ветку (1)
11
Автор поста оценил этот комментарий

У простых домашний, у не простых — ЦОДы

1
Автор поста оценил этот комментарий

Да ладно, не так уж все и страшно, вот если бы у маршрутизаторов такую дырку нашли вот тогда да. В конце концов, не так много у кого свичи жопой в инет смотрят.

раскрыть ветку (1)
10
Автор поста оценил этот комментарий

Как оказалось — достаточно, чтобы на пол рунета обосраться.

показать ответы
11
Автор поста оценил этот комментарий

А я завтра дежурю( надеюсь нащи циски в порядке, ибо мы не смотрим в инет вообще никак, но мало ли какая магия  ¯\_(ツ)_/¯

раскрыть ветку (1)
8
Автор поста оценил этот комментарий

я б пропатчил. и даж если не смотрит, а смарт инсталл есть - до 7 хопов может достучаться бот. Лучше позакрывать все, что не нужно

показать ответы
13
Автор поста оценил этот комментарий

Вы меня извините, но оставлять сервисы типа смарт инсталл открытыми из интернета... Это ССЗБ

раскрыть ветку (1)
8
Автор поста оценил этот комментарий

Всё верно

показать ответы
2
Автор поста оценил этот комментарий

Многие просто не изучают возможности софта, эти люди может даже и не знаю что это слова такие страшные "смарт инсталл" какой-то...

раскрыть ветку (1)
24
Автор поста оценил этот комментарий
ДРОЧИШЬ С БУРСЫ ЦИСКУ
@
CCNA>CCNP
@
МАМА ПОГЛАДИЛА РУБАШКУ, ЗАВЯЗАЛА ГАЛСТУК
@
УСТРОИЛСЯ РАБОТАТЬ В МЕСТНОГО ПРОВАЙДЕРА
@
ВСЁ КАК ТЫ ЛЮБИШЬ: 2900, 2960, 3750 И ПРОЧ
@
ENABLE CONF
@
А НАХУЙ, КУПИЛИ Ж 2009 ВСЕ ЗАЕБОК
@
#достаточно
@
2017, ММ ХОРОШИЕ ПОДСТАВКИ ПОД КОФЕ И РАБОТАЮТ ХОРОШО, ОБНОВЛЯТЬ НЕ НАДО
@
2018 АЛЛО ЕРОХИН, ЧЕ ЗА ХУЙНЯ
@
ЧТО, КАКОЙ ПОРТ, КУДА СМОТРИТ? ОТКУДА Я ЗНАЮ ПОЧЕМУ!
@
ЧЁ ЗА SMI?
@
ДА КТО ТАМ ПАТЧИЛ, ВЧЕРА ТЕТЯ СРАКА ПЫЛЬ ПРОТЕРАЛА
@
В СМЫСЛЕ КОНФИГОФ НЕ ОСТАЛОС? ДА КТО ИХ ТАМ СНИМАЛ, ЗАЕБИСЬ ЖЕ РАБОТАЛО
@
ПИШИ "УЯЗВИМОСТЬ, МЫ НЕ ВИНОВАТЫ, АТАКОВАЛИ БОТЫ ХАЦКЕРЫ"
@
— ХЭЛЛОУ ДЖЕРЕМИ ВАЗЗАП ПЛИЗ КАЙНДЛИ ХЭЛП
— HI DEAR SIR, TRY TO REBOOT ALL OF UR DEVICES
@
ХЬЮСТОН, У НАС ПРОБЛЕМЫ
@
ОБГОНЯЕШЬ SPACEX НА ЖОПНОЙ ТЯГЕ
показать ответы
16
Автор поста оценил этот комментарий

ДРОЧИШЬ С БУРСЫ ЦИСКУ

@

CCNA>CCNP

@

МАМА ПОГЛАДИЛА РУБАШКУ, ЗАВЯЗАЛА ГАЛСТУК

@

УСТРОИЛСЯ РАБОТАТЬ В МЕСТНОГО ПРОВАЙДЕРА

@

ВСЁ КАК ТЫ ЛЮБИШЬ: 2900, 2960, 3750 И ПРОЧ

@

ENABLE CONF

@

А НАХУЙ, КУПИЛИ Ж В 2009 ВСЕ ЗАЕБОК

@

#достаточно

@

2017, ММ ХОРОШИЕ ПОДСТАВКИ ПОД КОФЕ И РАБОТАЮТ ХОРОШО, ОБНОВЛЯТЬ НЕ НАДО

@

2018 АЛЛО ЕРОХИН, ЧЕ ЗА ХУЙНЯ

@

ЧТО, КАКОЙ ПОРТ, КУДА СМОТРИТ? ОТКУДА Я ЗНАЮ ПОЧЕМУ!

@

ЧЁ ЗА SMI?

@

ДА КТО ТАМ ПАТЧИЛ, ВЧЕРА ТЕТЯ СРАКА ПЫЛЬ ПРОТЕРАЛА

@

В СМЫСЛЕ КОНФИГОФ НЕ ОСТАЛОС? ДА КТО ИХ ТАМ СНИМАЛ, ЗАЕБИСЬ ЖЕ РАБОТАЛО

@

ПИШИ "УЯЗВИМОСТЬ, МЫ НЕ ВИНОВАТЫ, АТАКОВАЛИ БОТЫ ХАЦКЕРЫ"

@

— ХЭЛЛОУ ДЖЕРЕМИ ВАЗЗАП ПЛИЗ КАЙНДЛИ ХЭЛП

— HI DEAR SIR, TRY TO REBOOT ALL OF UR DEVICES

@

ХЬЮСТОН, У НАС ПРОБЛЕМЫ

@

ОБГОНЯЕШЬ SPACEX НА ЖОПНОЙ ТЯГЕ

3
Автор поста оценил этот комментарий
А в среду закончился Cisco Connect, где об этом не сильно акцентировали внимание. А вообще уровень похуизма админом уже давно зашкаливает. Этот smart install нафиг никому не нужен как http и https. Но зачем отключать если и так все работает.
раскрыть ветку (1)
7
Автор поста оценил этот комментарий

афтепати Cisco Connect во всех датацентрах Москвы

3
Автор поста оценил этот комментарий

А можно для тупых кусков дебила(меня), по русски и медленно. Заранее спасибо

раскрыть ветку (1)
7
Автор поста оценил этот комментарий

Дырка в оборудование cisco известна с 2013-го года и активно форсилась. в 2016 Кое-где попользовались > выпустили патч > с февраля 18-го активизировались, а как товарищи в открытый доступ выложили простой и наглядный способ хакнуть, кто-то успешно сделал бота, начал сканить оборудование и скидывать его в ноль.

показать ответы
3
Автор поста оценил этот комментарий

У админов было время поговорить в чате, но не было времени залить старый конфиг?

раскрыть ветку (1)
7
Автор поста оценил этот комментарий

Были случаи, когда вайпали подняту железку. Порты-то закрыть не успели ¯\_(ツ)_/¯

показать ответы
Автор поста оценил этот комментарий
ну во первых ты опоздал)
https://pikabu.ru/story/vecher_pyatnitsyi_u_itshnikov_predst...
Во вторых не до конца замазал Романа Пешехонова в скрине
В третьих уязвимость 16 года
раскрыть ветку (1)
6
Автор поста оценил этот комментарий

А кто-то заявлял на первую новость? Нет, собрали информацию, актуальную на тот момент. А Рома не расстроится.
А уязвимость не важно какого года. Патчик вышел, инженеры не обновили — результат на лицо.

1
Автор поста оценил этот комментарий

Мы сейчас на пикабу болтаем, значит мы в хорошей половине оказались?

раскрыть ветку (1)
5
Автор поста оценил этот комментарий

может, ваших ещё не просканили. Кто знает? Утром посмотрим)

показать ответы
5
Автор поста оценил этот комментарий

Излишний хайп (хотя он оправдан, когда уязвимости тыщи лет, а никто и пальцем не дернул) всегда становится причиной проблем https://thehackernews.com/2018/04/cisco-switches-hacking.htm...

3
Автор поста оценил этот комментарий

И действительно подтверждают

Иллюстрация к комментарию
показать ответы
3
Автор поста оценил этот комментарий

#Иран следующий

Иллюстрация к комментарию
2
Автор поста оценил этот комментарий

Работаю с Cisco - ужаса ровно столько же что и работая с Juniper, Arista, Cumulus, BigSwitch и прочими PaloAlto и F5'при.

Микротик- деревянный автоматики рядом с серьезным оборудованием.

раскрыть ветку (1)
6
Автор поста оценил этот комментарий

холивар начинается

показать ответы
1
Автор поста оценил этот комментарий
У меня есть что делалось на цисках когда все это обнулялось)) С неким белым айпи адресом)))
раскрыть ветку (1)
2
Автор поста оценил этот комментарий

айпишник на диджиталоушен ведёт, а там как пойдет.
Кто и что уже вкидывал в комменты тут, полистай: https://dsec.ru/upload/medialibrary/a46/a46a7d07ce67d5ce24c8...

показать ответы
1
Автор поста оценил этот комментарий

Потому что ИБ может айайай сделать ?

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

потому что ключи и вот это вот всё

показать ответы
2
Автор поста оценил этот комментарий

UPD: Наши циски не смотрят, а провайдера нашего (который дает нам канал связи) еще как смотрят. И конечно они отвалились. Теперь придется кучу рапортов писать и отписок о том, что мы ни при чем. Таки сглазила ☹ 

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

классика

1
Автор поста оценил этот комментарий

Хостинг https://www.rusonyx.ru/ упал и не смог подняться :С

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

смог

Автор поста оценил этот комментарий

Ребята вопрос не по теме. Учусь на 3 курсе универа, по спецухе связанной с администрированием железок. Пытаюсь найти работку для летней практики ну а вообще для себя. Но так как у нас (в Минске ) сами понимаете что все работодатели хотят 10летний стаж. Так вот вопросик как пробиться в Системные администраторы, эникей и тд и тп хочется. Мб кто подскажет как  хотя бы личинкой сисадмина стать. Ну или кто в Минске дорогу эту уже проходил подскажет где начать можно?
З.Ы. Хотя я думаю что это везде такая демократия у компаний все хотят чтобы все приходили уже прошареные, а обучать никто и не хочет.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

В hw не хочу, там надо системник собирать, если не соберешь, тебе дают андроид. И в гугл плей потом, под музыку из фильмов китайских. А планшет-то рядом в гроб положат. Перезагружается, потом калибровка экрана. Красивый. С большим юсб. Ребята, идите в hw.

На материнке в сокет термопасту подсыпают. Совсем новой материнке. Процессор от этого восьмибитным становится. И после выключения питания продолжает работать, протеины вычисляет. От батарейки биоса работает и на дискету сохраняет. Трещит. Любит притворится видеокартой и ваирфреймы РЕНДЕРИТЬ@ТЕКСТУРИТЬ. И на ту же дискету сохраняет.

Если ты залил блок питания фантой — считай твои дни сочтены. Сперва закоротит, потом лопастями кулера тебе лицо срежет. После фанты— расстрел. Без эмуляции 16-битных инструкций оставили. Пидоры суки. Дос поставить хочется, а десятка протеины с дискеты отправляет. Блядь. Когда i7 вышел, все видеокарты на одну плату поставили. Закрыли, подожгли. А они ничего не знают, ваирфрейм обсчитывают. А может все само загорелось. Это же i7. А инжинеры с маркетологами смотрят и смеются. У инжинера припадок. Упал, глаза закатил, из рта пена. Инженер сопромат знал. Умер. Когда хоронили, маркетологи в воздух стреляли. Их тоже потом расстреляли. Теперь маркетологи все процессоры делают.

Поставили на плату 386, для совместимости. За компом олдфаги сидят, им совместимость нужна. Загрузятся под ХП и играют в деус ех. Со старого диска. Который со старфорсом.

Сегодня кино показывали. Наебали. Суки. Показывали геймплей плейстейшона. А маркетологам процессоры делать, они же там электропечь напаяют! Решили им паяльники не давать, дать по газосварке. Так эти долбоебы сварками огромный процессор построили. Насыпали внутрь транзисторов, 640кб и закрыли. Но мне это нормально, все равно восьмибитный.

Кто-то шлейф оторванный пришивает, кто-то память утюгом забивает. На полу насрано. Плакат Контр страйк. Напротив плакат фоллаут. Подписанный. Кто подписал, неизвестно. Весех маркетологов расстреляли, но никто так и не сознался. Горько вспоминать. Воняет жутко. Полуразложившийся труп XP. Вот такой наш компьютерный уголок.

Зачем нужно собирать корпус? Чтобы не напали. Протеиновые инсайдеры.. Будут по тредам ходить, целенаправленно терафлопы выпрашивать. Суки. Пидоры. Гвоздем сокет поцарапает, ну что ты ему скажешь? Он же ничего по-русски не понимает. И осудить его не смогут, он же не гражданин. Только выслать в геймдев и там расстрелять. Пидоры. Все геймдевы — пидоры. И протеиновые.

Кто не играет, тому в день выдают две дискетки. пятидюймовые. Одна из них с картинками смешными. В другой — вишмастер. Вот и гадай: или обзмеишся, или будешь виндовс в третий раз за день переставлять. Но там большинство играет. Как же тут не заиграешь, если видеокарта дороже проца? Охуеть.

Если проебаться от сборки, можно и с планшета сидеть. Главное, чтобы не вычислили. Если вычислят, то тебя отведут в гараж, разденут, завяжут глаза. Во рту кляп. Садят на холодный пол, аж яйца сводит. И включают миди файлы с нокии. И пиздят. Зарядками от планшета. Ладно хоть не ебут. Лучше бы ебали.

У кого на десктопе бубунта стоит, тому яйца отрезают. В hw обряд такой. Как посвящение в студенты, только тебе яйца отрезают. Кусачками. Ржавыми. Их потом можно будет на материнскую плату подшить. А бубунта и на кусачках запустится.

Кто продаст планки по два гига — тот царь. Имеет право носить корону. С ним всегда свита. Он играет первым. Инжинер при встрече ему в ноги кланяется и обращается «ваша высокопроизводительность». Царь всегда играет с гейпада в эмулятор сеги. Как волк. Или собака, им виднее. После отбоя царя все ебут и пиздят. Почему? Да потому что продал всю память, пидарас пассивный.

Правильно говорят, что кто не собирал, тот не мужик. Или неправильно, я в хуй не тарабанил. «Кто две карты в сли сложил тот свой биос прошил». Выглядит как чушь? Это и есть чушь. Кто две карты себе поставил, у того кукушка отбита. и срака как у Дональда Дака. Зато живой. Или мертвый. Ему виднее.

Покомпилируем еще. Так менеджер говорил. Потом сперму поставил. Или ему поставили, хуй знает.

показать ответы
1
Автор поста оценил этот комментарий

менеджмент влан тут не поможет, доступно на любом L3 порте. Уязвимость известна около года, все крупные заказчики были давно предупреждены (слова знакомого сотрудника циско)

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Были. А ещё у крупных все давно закрыто, и стак отключен, где он не нужен. Но мы же понимаем, о ком идет речь

показать ответы
1
Автор поста оценил этот комментарий

kp.ru лежит по тем же причинам

Иллюстрация к комментарию
1
Автор поста оценил этот комментарий

Хостинг https://www.rusonyx.ru/ упал и не смог подняться :С

показать ответы
1
Автор поста оценил этот комментарий
Иллюстрация к комментарию
7
Автор поста оценил этот комментарий
судя по логам, там залив конфига по tftp, врядли если не смотрит в инет вообще достучится. Но позакрывать все, что не нужно - всегда нужно)


У меня 2 циски "отъехало". Спасибо за пост кстати. Циски удаленные, одну отправил менять и буду препарировать, хотя врядли что это даст, 2-ю буду чинить удаленно консолью.


могу последними логами поделиться в личке если что... Которые отправили умирающие циски...

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

У нас обнулилась на М9 модель без SMI вообще. Такие дела

показать ответы
2
Автор поста оценил этот комментарий

блядь, это достойно отдельного поста

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Ну уже оформили с товарищами: https://t.me/theaftertimes

Автор поста оценил этот комментарий

Блять. Ну что значит лень? Ну не может быть такого, чтобы тех.специалисты заранее не латали дыры. Простая лень здесь просто невозможна.


Скорее, тут причина в том, что латать эти дыры стоит очень дорого, а раз задача связана с программированием, то скорей всего нужен дорогой специалист (вы вообще цены видели на КОНСУЛЬТАЦИЮ от людей уровня лидов? Ебануться же можно)

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Ващет, "латать" эти дыры - 2 команды по 2 слова, и это не программирование, а как раз прямая работа специалиста на месте: конфигурация устройства.
Об уязвимости известно давно. Кто обновила - на это даже не попал и спокойно спал

Автор поста оценил этот комментарий
Иллюстрация к комментарию
Автор поста оценил этот комментарий

https://tools.cisco.com/security/center/content/CiscoSecurit...
18999 порт ещё не забудьте

Иллюстрация к комментарию
Автор поста оценил этот комментарий
Не могу вникнуть в суть поста, т.к, на работе. Вчера подключил теле 2 на смарт, интернет хреново ловит и работает, в доме вообще не ловит, в отличие от Билайна, это ситуация оправдывает провайдера?:)
раскрыть ветку (1)
Автор поста оценил этот комментарий

Ну такое. Проблемы с мегафоном и прочими мск провайдерами были в основном.

1
Автор поста оценил этот комментарий
%SYS-5-CONFIG_NV_I: Nonvolatile storage configured from tftp://198.199.79.18/my.conf by console


за минуту до падения.

раскрыть ветку (1)
Автор поста оценил этот комментарий
Apr 6 16:07:39.692: %SYS-5-CONFIG_NV_I: Nonvolatile storage configured from tftp://198.199.79.18/my.conf by console
Apr 6 16:07:40.833: %SYS-5-RELOAD: Reload requested by SMI IBC Download Process. Reload Reason: Switch upgraded through Smart Install.


и такие варианты, если сделал 10 deny tcp any any eq 4786

Apr 6 22:19:38.667: VSTACK_ERR:
!! smi_ibc_dl_handle_events: download not successful
Apr 6 22:19:38.667: %SMI-6-UPGRD_STARTED: Device (IP address: 0.0.0.0) startup-config upgrade has started
Apr 7 00:31:26.148: VSTACK_ERR:
!! smi_ibc_dl_handle_events: download not successful
Автор поста оценил этот комментарий

Ну и где готовый эксплоит?

upd

нашел внизу тут https://embedi.com/blog/cisco-smart-install-remote-code-exec...

раскрыть ветку (1)
Автор поста оценил этот комментарий

Не все комменты просмотрел. Держи: https://dsec.ru/upload/medialibrary/a46/a46a7d07ce67d5ce24c8...

2
Автор поста оценил этот комментарий

Интересно, накажут ли их. ФСБ же может получить какие-то данные о владельце аккаунта у Твиттера?

раскрыть ветку (1)
Автор поста оценил этот комментарий

Надо было ставить линукс обновляться

Автор поста оценил этот комментарий

Так старательно замазывал имена, но на последнем сообщении выдохся?)

раскрыть ветку (1)
Автор поста оценил этот комментарий

это чтобы загадочности придать. Теория заговора там, все дела. Чтобы было куда копать под нас

показать ответы
1
Автор поста оценил этот комментарий
Апокалипсис на м9 =)
А вот странно что дубликаты не найдены
https://pikabu.ru/story/vecher_pyatnitsyi_u_itshnikov_predst...
раскрыть ветку (1)
Автор поста оценил этот комментарий

Все верно, новость не первая. Но с пруфами и открытым обсуждением. И текст, ещё тоже не самый авторский. Авторский будет, когда отчеты пойдут от ответственных. А выводы им надо будет делать не малые