Cybersec NewsКибератакиНашите експертиПолезни съветиУязивмости, експлойти, ъпдейти

Само за един ден: 0-day Mikrotik Winbox и непоправима дупка в протокол на Cisco

Последен ъпдейт на 28 юни 2018 в 13:14 ч.

Днес Mikrotik пуснаха рекордно бърз ъпдейт адресиращ 0-day уязвимост касаеща един от най – популярните и удобно методи за управление на своите продукти – Winbox:

What''''s new in 6.40.8 [bugfix] (2018-Apr-23 11:34):
!) winbox - fixed vulnerability that allowed to gain access to an unsecured router;
What''''s new in 6.42.1 [current] (2018-Apr-23 10:46):
!) winbox - fixed vulnerability that allowed to gain access to an unsecured router;

Инженерите на Mikrotik съобщават, че съществува специален инструмент позволяващ връзка към Winbox на порт 8291/tcp (по подразбиране е активиран) и сваляне на базата данни с акаунти. След това атакуващият може да декриптира потребителските имена и пароли намиращи се в нея, което прави пробиването на сигурността тривиално.

Атаките не са масови и следват еднакъв шаблон – два неуспешни опита за достъп, последвани от успешен, промяна на настройки:

Източник: Bleeping Computer

Тази уязвимост все още няма CVE и не трябва да се бърка със скоро „закърпените“ – CVE-2018-7445 и публикувания във Vault 7 Chimary Red.

Как да се предпазим

  1. Винаги прилагайте последните ъпдейти. Тази стъпка е доста лесна и бърза:

    Източник: Bleeping Computer

  2. Сменете порта на който слуша Winbox и ограничете достъпа

И Cisco не бе подминат

Cisco Smart Install  е plug-and-play функционалност за конфигурация и управление на firmware за cisco комутатори, която е включена по подразбиране. Именно с такива функционалности трябва да се внимава, понеже в много от случаите те са за улеснение на потребителите и администраторите, но могат да представляват и проблем за сигурността.

Проблемите около Cisco Smart Install започват със CVE-2018-0171, което позволява неаутентикирана Denial-of-Service атака или да изпълни злонамерен код върху комутатора. Уязвимостта се крие в неправилно валидиране на пакети от страна на Smart Install клиента и е адресирана тук, където може да проверите дали вашите суичове са засегнати и съответно да изтеглите безплатен софтуерен ъпдейт.
За да придобиете представа за мащаба и сериозността на тази уязвимост погледнете кои устройства поддържат Smart Install. Колегите от Cisco-Talos са написали и свободен python script за проверка дали вашите устройства са уязвими.

Малко след като Proof of Concept exploit беше показан публично, на престъпници и script-kiddies не им трябваше втора покана да започнат своите деяния. Особено таргетирани се оказаха Русия и Близкият Изток.

Източник: hackread.com

 

С помощ от Shodan, Cisco-Talos към момента идентифицират повече от 168,000 публично достъпни и уязвими устройства. Това число е подобрение в сравнение с 251,000 през 2016.

Оказва се обаче, че слабостите не са само на приложно ниво, но и на протоколно. Изследователи в областта на информационната сигурност са открили, че вече съществуват атаки към Cisco Smart Client чрез изработени Smart Install (SMI) протоколни съобщения, които позволяват на отдалечен и неаутентикиран нападател да промени стартовата конфигурация, рестартира и подмени IOS имиджа на своите жертви.

Cisco предупреждават за масово недоброжелателно сканиране в опит за намиране на потенциални мишени, които все още не са предприели мерки да ограничат достъпа до своето оборудване.
Не се очаква да има софтуерен ъпдейт адресиращ този риск, понеже дизайна на протокола не позволява механизъм за автентикация. От Cisco определят това, като злоупотреба с функционалност, а не слабост в своите продукти.

Как да се предпазим

Първо идентифицирайте дали устройството е Smart Install Client:

switch1#show vstack config
     Role: Client
     .
     .
     .
    switch2#show vstack config
     Role: Client (SmartInstall enabled)
     .
     .
     .
    switch3#show vstack config
     Capability: Client
     Oper Mode: Enabled
     Role: Client

Второ – ако не използвате тази функционалност и не възнамерявате да я използвате, просто я изключете:
switch1(configure-terminal)# no vstack

Ако не искате или не е възможно да изключите Smart Install функцията, може да направите съответните Access lists (ACL), примерно:

ip access-list extended SMI_HARDENING_LIST
     permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
     deny tcp any any eq 4786
     permit ip any any

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Покажи още
Back to top button