Спецпроекты

Безопасность Администратору

Неизвестные выводят из строя устройства Cisco с помощью старого «бага»

Атаки на уязвимость, исправленную ещё в 2018 г., участились настолько, что Cisco выпустила специальный бюллетень, посвящённый проблеме - с рекомендациями установить патчи как можно скорее.

Вывоз данных из Cisco

Защитные сетевые устройства Cisco - Adaptive Security Appliance и Firepower - активно подвергаются атакам со стороны неизвестных злоумышленников, эксплуатирующих старую уязвимость в программных оболочках этих аппаратов.

Критический «баг» CVE-2018-0296, выявленный и исправленный в 2018 г., позволял злоумышленникам удалённо вызывать перезагрузку устройства с помощью специально сформированного http-запроса, а также, с помощью атаки path traversal (обход каталога) просматривать важную системную информацию без какой-либо авторизации на уязвимом устройстве.

Первые попытки атаковать эти устройства были предприняты сразу же после того как компания Cisco опубликовала информацию об уязвимости.

Однако год спустя количество атак на эту уязвимость возросло настолько, что Cisco выпустила специальный бюллетень с призывом к пользователям означенных устройств удостовериться, что они используют обновлённые прошивки, устойчивые к атакам на CVE-2018-0296.

Между тем, количество атак продолжает расти. Это означает, что уязвимых устройств в мире по-прежнему колоссальное количество.

Защитные сетевые устройства Cisco подвергаются атакам со стороны неизвестных злоумышленников, эксплуатирующих уязвимость, закрытую еще в 2018 году

«С одной стороны, удивительно, что за год так много устройств не получили обновлений против критической уязвимости, с другой - это уже нельзя назвать чем-то из ряда вон выходящим, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Постоянный рост количества атак на неисправленную уязвимость - совершенно естественное следствие такой массовой халатности. И дополнительный стимул установить-таки необходимые обновления».

Проверка

Чтобы проверить, уязвимы ли устройства, системным администраторам предлагается ввести команду: "show asp table socket | include SSL|DTLS».

Возможность для эксплуатации существует в том случае, если выводятся сокеты, принимающие входящие вызовы, и одновременно запущен уязвимый процесс.

Проверить это можно с помощью команды: "show processes | include Unicorn". Именно этот процесс (Unicorn) был уязвим в прежних версиях прошивок. В новой версии проблема отсутствует.

Проверочная процедура, впрочем, имеет смысл только при использовании сетевого фреймворка ASA/Firepower. Устройства, которые его не используют, - в безопасности.

Роман Георгиев

Короткая ссылка