Провайдеры по всему миру оказались уязвимы для хакерской атаки из-за проблем на оборудовании Cisco Статьи редакции

В России уже пострадали несколько провайдеров, а также хостинг RuWeb и сайты «Фонтанки» и 47news.

Вечером 6 апреля возникли неполадки в работе нескольких провайдеров и сайтов из-за хакерской атаки на оборудование Cisco. Как сообщил Telegram-канал «IT уголовные дела СОРМ россиюшка», оборудование установлено у большинства провайдеров и на нём нашли уязвимость, позволяющую им удалённо управлять.

• о проблемах в работе сообщили провайдеры в Псковской области, Королёве и Железногорске;
• компания eServer заявила, что её оборудование не подвержено уязвимости;
• хостинг RuWeb, провайдер Imaqlic, сайты изданий «Фонтанка» и 47news также подтвердили наличие сбоев в работе;
• московский театр «Современник» сообщил о неполадках из-за «технических работ» у провайдера;
• жалуются абоненты московского оператора «Скайнет», TJ пытался дозвониться к ним, а также к RiNet, МГТС и «Акадо», но после автоответчика вызов сбрасывался.

Как рассказали эксперты Embedi, уязвимость работает для неаутентифицированных RCE-атак. По их данным, в мире существует минимум 8,5 миллионов устройств, которые могут быть использованы хакерами. Cisco уже опубликовали исправляющий проблему патч, но он установлен далеко не на все устройства. В самой компании проблему признали критической.

По словам автора «IT уголовные дела СОРМ россиюшка», бот сканирует адреса провайдеров и устройств по всему миру в поисках уязвимости. Если он обнаруживает дыру, то стирает конфигурацию и оставляет «послание» в виде американского флага.

Для эксплуатации уязвимости хакерам надо обратиться к открытому TCP-порту 4786 и вызвать переполнение буфера одной из функций. Из-за того, что данные не проверяются, скопированная информация из сетевого пакета хакеров вызывает срабатывание бага. Исследователи из Embedi опубликовали видео с тем, как работает дыра.

Как отметило издание Securitylab, первые случаи эксплуатации уязвимости Cisco произошли ещё в феврале 2017 года, но они удвоились спустя год. Компания выпустила для администраторов и провайдеров инструмент для сканирования локальных сетей на предмет уязвимых устройств.

#сбои #технологии #интернет