Immaginate che all\u2019improvviso la vostra connessione Internet non vada o che non riusciate a entrare nel vostro sito preferito. Ebbene, una ragione c\u2019\u00e8: secondo alcune nostre fonti, gli switch di Cisco stanno subendo un forte attacco, e gli switch vengono utilizzati nei data center di tutto il mondo.<\/p>\n\n
L\u2019attacco sembra svolgersi nel seguente modo. Una minaccia sconosciuta sfrutta una vulnerabilit\u00e0 presente in un software chiamato Cisco Smart Install Client, che consente di attivare un codice arbitrario all\u2019interno degli switch vulnerabili. I cybercriminali riscrivono l\u2019immagine IOS di Cisco degli switch e modificano il file di configurazione, lasciando il seguente messaggio \u201cDo no mess with our elections\u201d. A partire da quel momento lo switch non \u00e8 pi\u00f9 utilizzabile.<\/p>\n
Sembra che esista un bot che va alla ricerca degli switch Cisco vulnerabili da sfruttare attraverso il motore di ricerca di IoT Shodan<\/a> (o forse sta utilizzando l\u2019utility che la stessa Cisco ha creato per ricercare gli switch vulnerabili). Dopo averne individuato uno, sfrutta la vulnerabilit\u00e0 di Smart Install Client, riscrive l\u2019intera configurazione e mette KO un intero segmento di Internet. Il risultato finale \u00e8 che alcuni data center hanno smesso di funzionare e, di conseguenza, anche alcuni siti importanti.<\/p>\n Cisco Talos ha dichiarato che su Shodan sono stati individuati oltre 168 mila dispositivi vulnerabili<\/a>. Non \u00e8 ancora stata definita la portata dell\u2019attacco, ma sembra essere piuttosto grande, in quanto sono stati colpiti numerosi data center e interi provider di Internet. L\u2019attacco sembra colpire soprattutto segmenti di Internet di lingua russa, tuttavia l\u2019area di attacco \u00e8 piuttosto vasta.<\/p>\n Stiamo analizzando la natura dell\u2019attacco e aggiungeremo in questo post informazioni in merito non appena disponibili.<\/p>\n Inizialmente, la funzione Smart Install avrebbe dovuto rendere la vita pi\u00f9 facile agli amministratori di sistema, in quanto consente di configurare e gestire in remoto gli switch Cisco e l\u2019immagine OS. In altre parole, \u00e8 possibile utilizzare un impianto su un sito in remoto per configurare il tutto dalla sede centrale (Zero Touch Deployment). Per fare ci\u00f2, deve essere attivato Smart Install Client e deve rimanere aperta la porta TCP 4786 (entrambe le opzioni sono attive di default).<\/p>\n Per verificare se Smart Install \u00e8 attivo basta impiegare il comando \u201cshow vstack config<\/strong>\u201d\u00a0 dello switch. Se lo switch risponde positivamente al comando, vuol dire che Smart Install \u00e8 attivato, e sarebbe meglio disattivarlo mediante il comando no vstack<\/strong>.<\/p>\n In ogni caso, in alcune versioni del sistema operativo di Cisco, tale comando funziona solo fino a quando si riavvia lo switch (sugli Cisco Catalyst 4500 e 4500-X Series Switches con sistema 3.9.2E\/15.2(5)E2; sui Cisco Catalyst 6500 Series Switches con versioni del sistema 15.1(2)SY11, 15.2(1)SY5 e 15.2(2)SY3; sui Cisco Industrial Ethernet 4000 Series Switches con sistemi 15.2(5)E2 e 15.2(5)E2a; e sui Cisco ME 3400 e ME 3400E Series Ethernet Access Switches con OS 12.2(60)EZ11). In questo caso si consiglia l\u2019upgrade (o persino il downgrade) della versione del sistema e di avviare il comando automatico \u201cno vstack<\/strong>\u201c. Per conoscere la versione del sistema operativo in uso, digitare il comando \u201cshow version<\/strong>\u201c.<\/p>\n Se i processi aziendali non permettono la disattivazione di Smart Install o se la versione del vostro OS Cisco non supporta il comando \u201cno vstack<\/strong>\u201d (il che potrebbe essere, \u00e8 stato aggiunto in una delle patch), allora sarebbe meglio limitare le connessioni alla porta 4786. Per fare ci\u00f2, Cisco consiglia di utilizzare Interface Access Control Lists: in questo modo solo gli impianti autorizzati potranno connettersi ai vostri switch mediante questa porta. Nel seguente esempio, l\u2019impianto si trova sull\u2019indirizzo IP 10.10.10.1. Esempio:<\/p>\n ip access-list extended SMI_HARDENING_LIST Qui<\/a> troverete maggiori informazioni sulla vulnerabilit\u00e0 in questione. Qui<\/a>, invece, troverete maggiori informazioni sull\u2019uso non corretto del protocollo Smart Install.<\/p>\n","protected":false},"excerpt":{"rendered":" I cybercriminali stanno approfittando a piene mani di una vulnerabilit\u00e0 negli switch di Cisco, che mette KO interi segmenti della Rete. <\/p>\n","protected":false},"author":40,"featured_media":15358,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[20,1624,2803,1874,2802,584],"class_list":{"0":"post-15357","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-attacchi","10":"tag-cisco","11":"tag-cisco-ios","12":"tag-shodan","13":"tag-switch","14":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cisco-apocalypse\/15357\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cisco-apocalypse\/13015\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cisco-apocalypse\/10869\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cisco-apocalypse\/15127\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cisco-apocalypse\/13399\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cisco-apocalypse\/12718\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cisco-apocalypse\/15786\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cisco-apocalypse\/20136\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cisco-apocalypse\/21966\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cisco-apocalypse\/10246\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cisco-apocalypse\/9139\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cisco-apocalypse\/16392\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cisco-apocalypse\/20049\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cisco-apocalypse\/20030\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cisco-apocalypse\/20028\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15357","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=15357"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15357\/revisions"}],"predecessor-version":[{"id":18649,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15357\/revisions\/18649"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/15358"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=15357"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=15357"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=15357"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Per gli amministratori di sistema: come gestire il problema<\/h3>\n
\npermit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
\ndeny tcp any any eq 4786
\npermit ip any any<\/p>\n