Известно, что в сети появился бот, который проводит сканирование оборудования на наличие уязвимостей, и в случае их обнаружения, меняет параметры: удаляет системные файлы, оставляет сообщение с изображением флага США и записью «Не встревайте в наши выборы».
В чатике коллеги по цеху делятся пятничным дерьмом #CVE_2018_0171 #Cisco #RCE pic.twitter.com/zIV73w1Wpu
— 0xFF (@xnetua)
Несколько российских провайдеров и сайтов также оказались под воздействием атаки. Нестабильно работали сайты изданий «Фонтанки», «Комсомольской правды», 47news, сайт московского театра «Современник». Пострадали некоторые провайдеры в Псковской области, в подмосковских городах Королев и Железногорск, пожаловались абоненты московского оператора «Скайнет» и другие. Помимо этого наблюдались проблемы в работе зарубежных площадок, например, сети микроблогов Twitter, и крупные сбои в Иране.
#Iran #Internet infrastructure went down from 432 routed ASNs to 372 in about 3 hours into the attack using #Cisco CVE-2018-0171 vulnerability. And not yet fully recovered 6 hours into the attack. Graph from #RIPEstat 4/X #infosec #security pic.twitter.com/TeAGhMkpiC
— Hamed Khoramyar (@Khoramyar)
Эксперты компании Embedi сообщили, что уязвимость работает для неаутентифицированных RCE-атак. По их подсчетам, порядка 8,5 млн устройств в мире могут стать жертвой хакеров. Cisco опубликовала специальный патч, который исправляет проблему, и признала, что сбой носит «критической» характер.
Securitylab указало, что проблема с уязвимостью оборудования Cisco начала появляться еще в феврале 2017 года. Компания опубликовала для администраторов провайдеров инструмент для сканирования локальных сетей на предмет уязвимых устройств.