Sinds vrijdag vindt er een grote aanval op Cisco-switches en -routers plaats waarbij de apparaten tijdelijk onbereikbaar worden en internetgebruikers geen toegang tot internet hebben. De aanvallers lijken het daarbij specifiek op Iraanse en Russische providers te hebben voorzien.
Bij de aanval wordt het besturingssysteem van de Cisco-switches overschreven en het configuratiebestand vervangen door de boodschap "Do not mess with our elections" en een Amerikaanse vlag in ASCII-art. Vervolgens wordt de Switch onbereikbaar, zo meldt anti-virusbedrijf Kaspersky Lab. De Iraanse minister van ict Azari Jahromi laat op Twitter weten dat 3500 switches in Iran zijn getroffen, waaronder die in datacentra en van internetproviders. Om de systemen te herstellen moesten experts fysiek ter plekke zijn, aldus het Iraans persbureau INRA. Inmiddels zou 95 procent van de getroffen switches in Iran weer zijn hersteld.
Volgens Kaspersky Lab, dat ook aanvallen tegen het Russische sprekende deel van het internet meldt, lijkt het erop dat er een bot is die via de IoT-zoekmachine Shodan naar kwetsbare Cisco-switches zoekt. Afgelopen donderdag waarschuwde Cisco dat Cisco-switches die binnen de vitale infrastructuur worden gebruikt het doelwit van aanvallen zijn geworden. De aanvallers maken misbruik van het Cisco Smart Install Client-protocol, dat "by design" geen authenticatie vereist. Smart Install is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van switches.
Het Smart Install-protocol kan echter ook door aanvallers worden misbruikt om de TFTP-serverinstellingen aan te passen, configuratiebestanden te stelen via TFTP, het configuratiebestand aan te passen, het IOS-image van de router of switch te vervangen, accounts aan te maken of IOS-commando's uit te voeren. IOS is het besturingssysteem dat op de netwerkapparatuur van Cisco draait. De netwerkgigant heeft een scan uitgevoerd waaruit blijkt dat 168.000 switches en routers via de Cisco Smart Install Client zijn blootgesteld. Het gaat in dit geval om apparaten waar het protocol is ingeschakeld en die via tcp-poort 4786 voor internet toegankelijk zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.