Вечером в пятницу наши читатели начали сообщать о том, что наш сайт недоступен. Высказывались даже предположения, что это все из-за того, что у нас была размещена инструкция по обходу возможной блокировки Telegram. Разумеется, дело было в другом. Пропала связь с нашим хостингом, который прилег вместе с большим количеством других дата-центров и операторов. Почему это произошло? Причина крылась в уязвимости сетевого оборудования Cisco.
Используя эту уязвимость, любой мог получить прямой доступ к управлению маршрутизаторами. Сама уязвимость не является новой, впервые публике ее практическая эксплуатация продемонстрирована еще в прошлом году в Гонконге на конференции GeekPwn 2017.
14 февраля Cisco опубликовала рекомендацию по закрытию данной уязвимости путём изменения настроек, а также бесплатную утилиту с открытым кодом для поиска уязвимых маршрутизаторов в своих сетях.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi Прошла пара недель. И Cisco 28 марта выпустила уже не бюллетень, а бесплатное обновление ПО для всех устройств, затронутых этой проблемой, т. к. выяснилось, что многие администраторы проигнорировали рекомендации по изменению настроек.
После этого появилась еще одна публикация об уязвимости, но снабжённая детальным описанием, картинками, примерами кода на питоне и даже видеороликами с пошаговой демонстрацией.
https://embedi.com/blog/cisco-smart-install-remote-code-execution/Видимо, для того, чтобы даже самые маленькие "хакеры" не чувствовали себя дискриминированными по интеллектуальному признаку.
Но, как оказалось и это не помогло. В пятницу, когда стало ясно, что в сообществе инженеров и системных администраторов достаточное количество балбесов, начался небольшой армагеддон. Один за другим выводились из строя маршрутизаторы. Стали недоступны сайты, размещавшиеся на некоторых хостингах. В том числе и наш. Первое время достоверной информации не было, и мы лишь наблюдали как в некоторых сетях происходит хаос, появлялись сообщения о падении крупных сервисов, таких Яндекс или Твиттер.
На деле, конечно же, сервисы работали нормально, но у большого количества клиентов попросту не было с ними стабильной связи. Вы, кстати, заметили, что пост, намеченный нами на восемь вечера в пятницу, опубликовался рано утром по московскому времени? Правильно, когда стал доступен сайт, тогда и пост появился в канале.
Днем с разоблачениями выступила «Лаборатория Касперского». Они заявили, что «злоумышленники перезаписывают образ системы Cisco IOS и меняют конфигурационный файл, оставляя в нем послание «Do not mess with our elections». С некоторым намеком на то, что это месть «американских хакеров» из спецслужб, «сигнал» и т.д. Однако учитывая хронологию развития событий, можно практически со стопроцентной уверенностью утверждать, что мы стали свидетелем столкновения обычного раздолбайства с одной стороны и подросткового вандализма с другой.
Вместе с тем, нужно учитывать и тот факт, что наличие такой уязвимости может быть следствием разных причин и вполне возможно, что столь длительное время (несколько лет) подобная дыра в безопасности существовала в том числе и из-за вмешательства спецслужб. Уверенности в этом нет, т. к. подход к написанию и сопровождению ПО у Cisco нельзя назвать образцовым для индустрии. Но и исключать такой вариант нет никаких оснований.
Мы все же не хотим пестовать конспирологические теории. Но в чем Евгений Валентинович прав, так это в схожести ситуации с распространением вируса WannaCry. Та же самая беспечность, недели бездействия, игнорирование обновлений и, наконец, массовая и максимально примитивная атака вандалов и вымогателей.
Так что не стоит бить себя ушами по щекам. Просто надо обновляться, когда об этом вам говорит производитель оборудования или разработчик системы.
