Атака Cisco Smart Install и другие — порядок действий для защиты

Атака Cisco Smart Install и другие 8212 порядок действий для защиты
Относительно вчерашнего цископада уже написано немало как официальных статей, так и неофициальных заметок. Не буду и я исключением, поделюсь своими рекомендациями по действиям для защиты. Ведь в этом противостоянии исследователей уязвимостей и вендора должна появиться незаинтересованная объективная сторона.
28 марта опубликованы 2 уязвимости Smart Install:

Что интересно, на фоне большой шумихи с Cisco Smart Install почему-то обошли вниманием аналогичные уязвимости Cisco от 28 марта 2018:

То, что еще не опубликован и не используется массово эксплоит — не значит, что не нужно защищать устройства. Он наверняка есть, но у очень ограниченного количества людей. И действовать нужно именно на этом этапе, пока не поздно.

Рассматриваем защиту от эксплуатации уязвимостей Smart Install CVE-2018-0156, CVE-2018-0171, QoS CVE-2018-0151 и учетной записи cisco CVE-2018-0150.
Но стоит учесть, что остальные требования по харденингу оборудования Cisco также не стоит игнорировать.
Картинки
В итоге, могу порекомендовать всем, у кого есть оборудование Cisco в любом количестве, следующий порядок действий, который поможет минимизировать как текущую угрозу, так и возможный вред в будущем.
Итак, ToDo:
  • Провести анализ подверженности своего оборудования вышеописанным уязвимостям. Сверить версии ПО для платформ с официально рекомендованными производителем как неуязвимые.
  • Провести анализ наличия взломанных устройств, фактов несанкционированного изменения конфигураций либо состояния устройств. Восстановить продуктивную конфигурацию, сменить пароли и ключи. При необходимости — собрать логи для анализа и возможной передачи в правоохранительные органы.
  • Отключить функционал Cisco Smart Install командой no vstack.
  • Удалить пользователя по умолчанию cisco.
  • Ограничить обработку пакетов с dst port UDP 18999, если dst ip принадлежит устройству.
  • Обновить устройства до рекомендованных версий ПО. Учесть необходимость остановки либо переключения трафика на время обновления.
  • Настроить мониторинг оборудования на предмет:
  • — активации Cisco Smart Install (vstack) и порта TCP 4786/
  • — активации порта UDP 18999 в системе (listening)
  • — появления пользователя cisco в конфигурации
  • и интегрировать с системой инцидент-менеджмента организации. Даже если все устранить — в будущем баги могут появиться по причине человеческой ошибки, изменения поведения ПО либо появления нового бага.
Поэтому чрезвычайно важен и дальнейший процесс постоянного контроля защищенного состояния.


Источник — Блог Андрея Дугина «Практическая информационная безопасность и защита информации».

Андрей Дугин
Автор: Андрей Дугин
Блог "Практическая информационная безопасность и защита информации" Андрея Дугина
Комментарии: