Атака Cisco Smart Install и другие — порядок действий для защиты

Дата: 08.04.2018. Автор: Андрей Дугин. Категории: Блоги экспертов по информационной безопасности
Атака Cisco Smart Install и другие - порядок действий для защиты
Относительно вчерашнего цископада уже написано немало как официальных статей, так и неофициальных заметок. Не буду и я исключением, поделюсь своими рекомендациями по действиям для защиты. Ведь в этом противостоянии исследователей уязвимостей и вендора должна появиться незаинтересованная объективная сторона.
28 марта опубликованы 2 уязвимости Smart Install:

Что интересно, на фоне большой шумихи с Cisco Smart Install почему-то обошли вниманием аналогичные уязвимости Cisco от 28 марта 2018:

То, что еще не опубликован и не используется массово эксплоит — не значит, что не нужно защищать устройства. Он наверняка есть, но у очень ограниченного количества людей. И действовать нужно именно на этом этапе, пока не поздно.

Рассматриваем защиту от эксплуатации уязвимостей Smart Install CVE-2018-0156CVE-2018-0171, QoS CVE-2018-0151 и учетной записи cisco CVE-2018-0150.
Но стоит учесть, что остальные требования по харденингу оборудования Cisco также не стоит игнорировать.
Картинки
В итоге, могу порекомендовать всем, у кого есть оборудование Cisco в любом количестве, следующий порядок действий, который поможет минимизировать как текущую угрозу, так и возможный вред в будущем. 
Итак, ToDo:
  • Провести анализ подверженности своего оборудования вышеописанным уязвимостям. Сверить версии ПО для платформ с официально рекомендованными производителем как неуязвимые.
  • Провести анализ наличия взломанных устройств, фактов несанкционированного изменения конфигураций либо состояния устройств. Восстановить продуктивную конфигурацию, сменить пароли и ключи. При необходимости — собрать логи для анализа и возможной передачи в правоохранительные органы.
  • Отключить функционал Cisco Smart Install командой no vstack. 
  • Удалить пользователя по умолчанию cisco.
  • Ограничить обработку пакетов с dst port UDP 18999, если dst ip принадлежит устройству.
  • Обновить устройства до рекомендованных версий ПО. Учесть необходимость остановки либо переключения трафика на время обновления.
  • Настроить мониторинг оборудования на предмет: 
  • — активации Cisco Smart Install (vstack) и порта TCP 4786/
  • — активации порта UDP 18999 в системе (listening)
  • — появления пользователя cisco в конфигурации
  • и интегрировать с системой инцидент-менеджмента организации. Даже если все устранить — в будущем баги могут появиться по причине человеческой ошибки, изменения поведения ПО либо появления нового бага. 
Поэтому чрезвычайно важен и дальнейший процесс постоянного контроля защищенного состояния.


Источник — Блог Андрея Дугина «Практическая информационная безопасность и защита информации».

Андрей Дугин

Об авторе Андрей Дугин

Блог "Практическая информационная безопасность и защита информации" Андрея Дугина
Читать все записи автора Андрей Дугин

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *