Eksperci z Cisco ostrzegli przed atakami na infrastrukturę krytyczną z użyciem podatności w switchach (przełącznikach sieciowych) produkowanych przez tę firmę. Błędy znaleziono w usłudze Smart Install dostępnej na porcie TCP 4786 w urządzeniach działających pod kontrolą systemów IOS oraz IOS XE. Jak udowodniła firma Embedi, usługa jest podatna na przepełnienie bufora, co można wykorzystać do zdalnego uruchomienia nieautoryzowanego kodu. Luka została załatana pod koniec marca, nie wszyscy jednak zdążyli wprowadzić stosowne poprawki. Ponadto w usłudze występuje błąd logiczny umożliwiający nieautoryzowaną aktualizację oprogramowania poprzez zmianę ustawień serwera TFTP. Pierwsze ataki z wykorzystaniem tej drugiej luki odnotowano ponad rok temu, ich nasilenie nastąpiło w listopadzie, teraz natomiast zaobserwowano dwukrotny wzrost liczby ataków na switche Cisco, zlokalizowane przede wszystkim w Iranie i Rosji. Ekspertów niepokoi również niedawne ostrzeżenie amerykańskiego CERT-u, dotyczące wzmożonej aktywności grupy Dragonfly. Szacuje się, że w sieci może obecnie działać 168 tys. urządzeń z dostępną dla atakujących usługą Smart Install.
Ryzyko duże: Opisywane ataki nie wymagają zaawansowanych umiejętności technicznych, więc mogą zostać szybko skopiowane przez inne grupy przestępcze.
Działania krótkoterminowe: Aktualizacja podatnego oprogramowania do najnowszej wersji. Wyłączenie usługi Smart Install na dostępnych z zewnątrz urządzeniach, a jeśli nie ma takiej możliwości, to odfiltrowanie portów.
Źródło: http://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html
