El dia 6 de Abril durante la noche se reportó un ataque de seguridad por parte de un grupo de hackers llamado “JHT” hacía varias infraestructuras de redes extranjeras, incluyendo Rusas e Iraníes, utilizando a la instalación inteligente de CISCO bajo el código CVE-2018-0171, gracias a esto los hackers lograron restablecer los enrutadores a su configuración predeterminada, además de mostrar un mensaje a las víctimas.
Nos estamos refiriendo a que se sobrescribe el archivo de configuración del enrutador conocido como “startup-config” para reiniciar todo el sistema. Causando interrupciones en las redes afectadas y el archivo de configuración de inicio del enrutador se cambió por un mensaje que decía “No se metan con nuestras elecciones.... -JHT usafreedom_jht@tutanota.com"
Según el ministerio de Tecnología de la Información y Comunicación de Irán, se declararon más de 200,000 enrutadores en todo el mundo que se vieron afectados por este ataque, en donde 3500 de ellos eran de Irán.
En un tweet, el ministro Iraní de las TIC, “Mohammad Javad Azari-Jahromi”, declaró que a pocas horas del ataque el 95% de los enrutadores afectados en Irán ya habían sido reestablecidos al servicio normal.
En el caso de Rusia en muchos países del mundo se está investigando una posible interferencia en las elecciones de esos países, creando múltiples cuentas falsas con las que compartían noticias falsas para influenciar al electorado, además de desalentar la intención de voto entre ciertos sectores de votantes, hackear y filtrar información secreta, y desprestigiar a los candidatos que no consideraban adecuados para sus intereses.
La vulnerabilidad CVE-2018-0171 es un resultado de una validación incorrecta de los datos de packer en el cliente de Smart Install, que es una característica de configuración plug-and-play y gestión de imágenes que proporciona implementación sin intervención de nuevos conmutadores
Puede permitir a un atacante remoto no-autenticado desencadenar una recarga de un dispositivo afectado, resultando en una denegación de servicio (DoS), o para ejecutar código arbitrario en un dispositivo afectado.
¿Qué piensa cisco?
Cisco cree que los hackers simplemente han usado mal el protocolo Smart install para sobreescribir la configuración del dispositivo, en lugar de explotar de verdad esa vulnerabilidad.
“Se puede abusar del protocolo Cisco Smart Install para modificar la configuración de servidor TFTP, filtrar archivos de configuración mediante TFTP, modificar el archivo de configuración, reemplazar la imagen IOS y configurar cuentas, lo que permite la ejecución de comandos IOS”
Comentarios
Publicar un comentario