Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

Компания-производитель сетевого оборудования Cisco удалила из своей операционной системы Cisco IOS XE 16.x бэкдор, позволяющий удаленному злоумышленнику авторизоваться на маршрутизаторах и коммутаторах Cisco.

Проэксплуатировав уязвимость CVE-2018-0150, атакующие могут удаленно авторизоваться в учетной записи и получить «доступ к уровню привилегий 15». Данный термин используется для описания учетных записей с высокими привилегиями.
По словам представителей компании, «недокументированная учетная запись пользователя» присутствует только на устройствах с операционной системой Cisco XE Software 16.x, использующейся в основном маршрутизаторами Cisco ASR и коммутаторами Catalyst.
Устройства с IOS XE 16.x поставляются со скрытой учетной записью с именем пользователя «cisco» и статическим паролем, который компания не раскрывает, чтобы избежать потенциальных попыток эксплуатации в будущем.
Поскольку данная учетная запись присутствует только в версиях 16.x и использует название компании в качестве имени пользователя, она, по-видимому, была случайно оставлена на стадии разработки или тестирования IOS XE.
Если установить исправление не представляется возможным, администраторы устройств могут удалить учетную запись с помощью команды no username cisco. Если администраторы хотят сохранить данную учетную запись, они могут авторизоваться на устройстве через аккаунт администратора и изменить пароль учетной записи cisco.
Патч для CVE-2018-0150 является одним из 22 обновлений безопасности, опубликованных Cisco. Обновления также включают исправления для критических уязвимостей CVE-2018-0151 и CVE-2018-0171, позволяющих удаленно выполнить произвольный код.
Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют сетевым администраторам, под управлением которых находятся устройства Cisco, оперативно устанавливать актуальные обновления безопасности, опубликованные данным производителем. Загружать обновления необходимо только с официального сайта компании Cisco.