Venerdì 6 aprile, cybercriminali hanno attaccato alcuni switch di Cisco collocati data center in Russia e Iran, lasciando come segno di riconoscimento una schermata (visibile da Terminale) con la bandiera USA e la scritta “Don’t mess with our elections” (non interferite con le nostre elezioni).
L’attacco, spiega Kasperky, sfrutta una vulnerabilità presente in un software denominato Cisco Smart Install Client, che consente di attivare codice arbitrario all’interno degli switch vulnerabili. I cybercriminali riscrivono l’immagine IOS (il sistema operativo degi switch Cisco) impedendo l’uso del dispositivo.
Sembra che esista un bot che va alla ricerca degli switch Cisco vulnerabili; dopo averne individuato uno (individando il bersaglio con il motore di ricerca per l’internet delle cose Shodan.io), sfrutta la vulnerabilità di Smart Install Client, riscrive l’intera configurazione e mette KO un intero segmento di Internet. Il risultato è che alcuni data center hanno smesso di funzionare e, di conseguenza, anche alcuni siti importanti. Non è ancora stata definita la portata dell’attacco, ma sembra essere piuttosto grande, in quanto sono stati colpiti numerosi data center e interi provider di Internet. L’attacco sembra colpire soprattutto segmenti di Internet di lingua russa, tuttavia l’area di attacco è piuttosto vasta.
بررسیهای اولیه حاکی از آن است که در تنظیمات مسیریابهای مورد حمله قرار گرفته، با حک پرچم ایالت متحده، اعتراضی درباره انتخابات آمریکا صورت گرفته است. دامنه حملات فراتر از ایران است. منشا حملات در دست بررسی است pic.twitter.com/L8erHB52j1
— MJ Azari Jahromi (@azarijahromi) April 6, 2018
Cisco ha rilasciato aggiornamenti software che risolvono le vulnerabilità nei prodotti interessati. Dal punto di vista tecnico,la funzione Smart Install avrebbe dovuto rendere la vita più facile agli amministratori, giacché consente di di configurare e gestire in remoto gli switch Cisco e l’immagine OS. In altre parole, è possibile utilizzare un impianto su un sito in remoto per configurare il tutto dalla sede centrale (Zero Touch Deployment). Per fare ciò, deve essere attivato Smart Install Client e deve rimanere aperta la porta TCP 4786 (entrambe le opzioni attive di default).
Per verificare se Smart Install è attivo basta eseguire il comando “show vstack config” dello switch. Se lo switch risponde positivamente al comando, vuol dire che Smart Install è attivato; se possibile, è bene disattivarlo mediante il comando no vstack.
A questo indirizzo troverete maggiori informazioni sulla vulnerabilità in questione. Qui, invece, maggiori informazioni sull’uso del protocollo Smart Install.