IXメーリングリストのこの情報が役立つことを願っています。
シスコのデバイスに感染するボットネットがネットワーク上で特にアクティブになっているという事実に注意を喚起する必要があります。再報告するとき、1時間後に、影響を受けた参加者がルーターにコンソールをすぐに取得できるようにする意欲に関する情報を追加しました(つまり、番号は0ではなく1ではありません)。
データによると、このウイルスの結果として、ネットワークデバイスの構成は完全に削除され、リモートコンソールを介した再構成が必要です。
脆弱性の悪用CVE-2018-0171
ウイルスは、TCPポート4786を開くためにネットワークをスキャンすることに注意してください。
MSK-IXネットワークのインフラストラクチャは影響を受けません。
セキュリティ対策として、アクセスリストを使用してポートをブロックするか、vstackを無効にすることができます( 'no vstack'コマンド)
前述のように、この脆弱性は識別子CVE-2018-0171とCVSSスケールで9.8ポイントを受け取りました。 この問題は、SMIクライアント(Cisco Smart Install)の不正なパケット検証に基づいています。 問題は3月28日に公開されました。シスコの開発者は、検出されたバグのパッチをすでにリリースしており、その後、研究者は概念実証の悪用を公開しました。
金曜日の夜、一部の「おかしな男」がボットネットを使用してポートをスキャンし、開いているTCP 4786と発見されたデバイスへのさらなる攻撃を探しているようです。
以前、彼らはオープンポートで見つかった約850万のデバイスとパッチなしで25万のデバイスを書きました。 明日の朝、RuNetでの割合を調べます。
PS:私は自分自身をシスコのセキュリティスペシャリストとは見なしていないため、アドオンはコメントで歓迎します。 管理者が攻撃を回避するのに役立つことを願っています。
PPS:Zadarmaクラウドインフラストラクチャは影響を受けませんでしたが、モスクワの一部の電話事業者に問題があることに気付いたのは、現時点では、おそらく攻撃に関連していました。