Технологии
Николай Чумаков

Провайдеры по всему миру оказались уязвимы для хакерской атаки из-за проблем на оборудовании Cisco

В России уже пострадали несколько провайдеров, а также хостинг RuWeb и сайты «Фонтанки» и 47news.

Послание для провайдеров, которое оставляют хакеры. Фото Imgur

Вечером 6 апреля возникли неполадки в работе нескольких провайдеров и сайтов из-за хакерской атаки на оборудование Cisco. Как сообщил Telegram-канал «IT уголовные дела СОРМ россиюшка», оборудование установлено у большинства провайдеров и на нём нашли уязвимость, позволяющую им удалённо управлять.

  • о проблемах в работе сообщили провайдеры в Псковской области, Королёве и Железногорске;
  • компания eServer заявила, что её оборудование не подвержено уязвимости;
  • хостинг RuWeb, провайдер Imaqlic, сайты изданий «Фонтанка» и 47news также подтвердили наличие сбоев в работе;
  • московский театр «Современник» сообщил о неполадках из-за «технических работ» у провайдера;
  • жалуются абоненты московского оператора «Скайнет», TJ пытался дозвониться к ним, а также к RiNet, МГТС и «Акадо», но после автоответчика вызов сбрасывался.

Как рассказали эксперты Embedi, уязвимость работает для неаутентифицированных RCE-атак. По их данным, в мире существует минимум 8,5 миллионов устройств, которые могут быть использованы хакерами. Cisco уже опубликовали исправляющий проблему патч, но он установлен далеко не на все устройства. В самой компании проблему признали критической.

По словам автора «IT уголовные дела СОРМ россиюшка», бот сканирует адреса провайдеров и устройств по всему миру в поисках уязвимости. Если он обнаруживает дыру, то стирает конфигурацию и оставляет «послание» в виде американского флага.

Для эксплуатации уязвимости хакерам надо обратиться к открытому TCP-порту 4786 и вызвать переполнение буфера одной из функций. Из-за того, что данные не проверяются, скопированная информация из сетевого пакета хакеров вызывает срабатывание бага. Исследователи из Embedi опубликовали видео с тем, как работает дыра.

Как отметило издание Securitylab, первые случаи эксплуатации уязвимости Cisco произошли ещё в феврале 2017 года, но они удвоились спустя год. Компания выпустила для администраторов и провайдеров инструмент для сканирования локальных сетей на предмет уязвимых устройств.

#сбои #технологии #интернет