Hackers atacan a Rusia e Iran explotando el fallo de Cisco CVE-2018-0171
La semana del 2 de abril el equipo de piratería JHT lanzó una campaña de piratería explotando la falla Cisco CVE-2018-0171 contra la infraestructura de red en Rusia e Irán.
Los hackers explotaron la instalación inteligente de Cisco CVE-2018-0171 para restablecer los enrutadores a la configuración de arranque y reiniciar los dispositivos, luego dejaron el siguiente mensaje a las víctimas:
"No te metas con nuestras elecciones ... -JHT usafreedom_jht@tutanota.com "
Los actores de amenazas utilizaron herramientas automatizadas para explotar los errores críticos de Cisco IOS y Cisco IOS XE (CVE-2018-0171 y CVE-2018-0156) para provocar interrupciones masivas de la red.
Smart Install es una característica plug-and-play heredada y característica de administración de imágenes que proporciona implementación cero-táctil para nuevos switches.
Cisco PSIRT ha publicado un nuevo aviso de seguridad para el abuso del protocolo de instalación inteligente, el gigante de TI ha identificado cientos de miles de dispositivos expuestos en línea.
Cisco está aconsejando a las organizaciones que los piratas informáticos podrían dirigir sus conmutadores a través del protocolo de instalación inteligente. El gigante de TI identificó cientos de miles de dispositivos expuestos y advirtió a la infraestructura crítica que los usa de riesgos potenciales.
"Cisco es consciente de un aumento significativo en los escaneos de Internet que intentan detectar dispositivos donde, después de completar la configuración, la característica Instalación inteligente permanece habilitada y sin los controles de seguridad adecuados. Esto podría dejar a los dispositivos involucrados susceptibles de mal uso de la función. "Lee el nuevo aviso de seguridad.
"Varios investigadores han informado sobre el uso de mensajes de protocolo Smart Install (SMI) hacia clientes Smart Install, también conocidos como clientes de sucursales integrados (IBC), lo que permite a un atacante remoto no autenticado cambiar el archivo startup-config y forzar una recarga del dispositivo, cargue una nueva imagen IOS en el dispositivo y ejecute comandos CLI de alto privilegio en los switches que ejecutan Cisco IOS y el software IOS XE ".
La ola de ataques golpeó miles de dispositivos en Irán, el Ministerio de Tecnología de la Información y Comunicación de Irán declaró que más de 200,000 enrutadores en todo el mundo se vieron afectados, con 3.500 de ellos en Irán.
"Los hackers atacaron redes en varios países, incluidos centros de datos en Irán, donde dejaron la imagen de una bandera estadounidense en las pantallas junto con una advertencia:" No jueguen con nuestras elecciones ", dijo el sábado el Ministerio de TI iraní ".
"El ataque aparentemente afectó a 200,000 conmutadores de enrutadores en todo el mundo en un ataque generalizado, incluidos 3.500 conmutadores en nuestro país", dijo el Ministerio de Comunicaciones e Informática en un comunicado emitido por la agencia de noticias iraní IRNA.
El ministro de TIC de Irán, Mohammad Javad Azari-Jahromi, declaró que el 95% de los enrutadores afectados en el país ya habían sido restaurados al servicio normal.
Según Joseph Cox, de Motherboard, que ha llegado a los atacantes, detrás de los ataques, hay hackers vigilantes que escanean Internet en busca de dispositivos CISCO vulnerables y explotan la falla contra los sistemas en Rusia e Irán.
"Estábamos cansados de los ataques de hackers respaldados por el gobierno en los Estados Unidos y otros países", dijo a Motherboard el sábado alguien que tenía el control de una dirección de correo electrónico que quedaba en la nota.
Los presuntos hackers vigilantes también aseguraron arreglar la vulnerabilidad en los enrutadores de los Estados Unidos y el Reino Unido que descubrieron al emitir el comando no vstack.
Para comprobar si Smart Install funciona en un enrutador, los administradores pueden ejecutar el comando "show vstack config" en su switch.