Mрежови устройства – цел на кибер атаки – 19.04.2018

​Многобройни източници, включително частни, публични организации и сдружения за изследване на кибер сигурността, сигнализират, че киберпрестъпници експлоатират голям брой устройства на мрежовата инфраструктура ( router, switch, firewall, Network-based Intrusion Detection System (NIDS) от бизнес-класове и SOHO ( за малки офиси и жилища)) по целия свят.

Kибер престъпници използват няколко традиционни или слаби протоколи, свързани с дейностите по администриране по мрежата като Telnet, SNMP и TFTP, SMI и TFTP, GRE тунелиране  и обслужващите ги портове,. Те използват тези слабости, за да:

идентифицират уязвими устройства;

извличат на конфигурациите на устройствата;

картографират вътрешните мрежови архитектури;

събират регистрационни данни за вход;

се маскират като привилегировани потребители;

модифицират: фърмуера на устройството, операционната система, конфигурациите; и

копират или пренасочват трафика на жертвата през инфраструктура, контролирана от кибер престъпниците.

Те биха могли да променят или да забранят трафика, преминаващ през мрежовите устройства.

Мрежовите устройства често са лесни цели, защото:

–         Веднъж инсталирани, много мрежови устройства не се поддържат на същото ниво на сигурност, както другите универсални настолни компютри и сървъри.

–         Собствениците и администраторите на мрежови устройства не променят настройките по подразбиране, поставени от производителите , не ги конфигурират съгласно добрите практики за сигурност или не актуализират фъмуера и софтуера им.

–         Доставчиците на интернет не подменят оборудването при клиента, когато това оборудване вече не се поддържа от производителя или продавача.

–         Собствениците и администраторите често пренебрегват мрежовите устройства, когато разследват, проверяват за компрометиране и възстановяват устройствата с общо предназначение след кибер посегателства.

Общи мерки за предпазване от тези атаки са:

·        Не позволявайте на некриптирани протоколи да достъпват организацията през Интернет;

·        Не позволявайте достъп до интерфейса за управление на което и да е мрежово устройство през Интернет;

·         Забранете стари и слаби протоколи като TelNet и SNMPv1 или v2c;

·        Незабавно променете фабричната парола и въведете силна политика за пароли. Не използвайте една и съща парола за няколко устройства.

CERT България призовава потребителите и администраторите да прилагат съветите за сигурност на производителите и на организациите за сигурност възможно най-скоро след публикуването им.

Повече информация може да намерите на:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

http://cert.europa.eu/static/SecurityAdvisories/2018/CERT-EU-SA2018-009.pdf

https://www.us-cert.gov/ncas/alerts/TA18-106A

Може да проверите валидността на софтуера на CISCO мрежовото си устройство на:

https://www.cisco.com/c/en/us/about/security-center/ios-image-verification.html