Добрый день всем,
По работе столкнулся с интересным всплеском сетевой активности в интернете в последние дни. Работаю я в Cisco TAC, поэтому и статья об этом.
А именно кто-то в интернете запустил глобальное сканирование сетевых устройств на предмет лекго-подбираемых доступных для записи snmp community и при успехе стирает с устройств таблицу роутинга.
Очевидно, это ведет к внезапному прекращению корректной работы устройства (чаще всего это пограничные роутеры) и открытию излишнего количества кейсов в техподдержку.
Конечно же Cisco как всегда рекомендует тщательно следить за snmp, особенно за такой частью как имена community доступных для записи, использовать access list'ы и напоминает что community по дизайну это ни что иное как пароль, и он вообще-то должен быть сложным.
Тем не менее в результате этой атаки выявилось несколько поразительных моментов:
— сам по себе вектор атаки направленный на такой участок дает неограниченные возможности по управлению устройствами при очевидной простоте исполнения
— что еще более ее усугубляет — IOS устройства не логируют изменение конфигурации по SNMP, что ведет к совершенно непонятным причинам проблем. Это поведение будет исправлено и по этому поводу уже заведен баг.
Читать полностью »