Провайдеры по всему миру оказались уязвимы для хакерской атаки из-за проблем на оборудовании Cisco
В России уже пострадали несколько провайдеров, а также хостинг RuWeb и сайты «Фонтанки» и 47news.
Послание для провайдеров, которое оставляют хакеры. Фото Imgur
Вечером 6 апреля возникли неполадки в работе нескольких провайдеров и сайтов из-за хакерской атаки на оборудование Cisco. Как сообщил Telegram-канал «IT уголовные дела СОРМ россиюшка», оборудование установлено у большинства провайдеров и на нём нашли уязвимость, позволяющую им удалённо управлять.
- о проблемах в работе сообщили провайдеры в Псковской области, Королёве и Железногорске;
- компания eServer заявила, что её оборудование не подвержено уязвимости;
- хостинг RuWeb, провайдер Imaqlic, сайты изданий «Фонтанка» и 47news также подтвердили наличие сбоев в работе;
- московский театр «Современник» сообщил о неполадках из-за «технических работ» у провайдера;
- жалуются абоненты московского оператора «Скайнет», TJ пытался дозвониться к ним, а также к RiNet, МГТС и «Акадо», но после автоответчика вызов сбрасывался.
Как рассказали эксперты Embedi, уязвимость работает для неаутентифицированных RCE-атак. По их данным, в мире существует минимум 8,5 миллионов устройств, которые могут быть использованы хакерами. Cisco уже опубликовали исправляющий проблему патч, но он установлен далеко не на все устройства. В самой компании проблему признали критической.
По словам автора «IT уголовные дела СОРМ россиюшка», бот сканирует адреса провайдеров и устройств по всему миру в поисках уязвимости. Если он обнаруживает дыру, то стирает конфигурацию и оставляет «послание» в виде американского флага.
Для эксплуатации уязвимости хакерам надо обратиться к открытому TCP-порту 4786 и вызвать переполнение буфера одной из функций. Из-за того, что данные не проверяются, скопированная информация из сетевого пакета хакеров вызывает срабатывание бага. Исследователи из Embedi опубликовали видео с тем, как работает дыра.
#сбои #технологии #интернет