“Non scherzate con le nostre elezioni”: un chiaro riferimento all’operato dei Paesi come la Russia accusati di aver interferito con il voto delle presidenziali USA.
Gli attaccanti hanno utilizzato strumenti automatici per la scansione massiva in rete alla ricerca della falla dei dispositivi basati sui sistemi operativi Cisco IOS e Cisco IOS XE non sottoposti all’aggiornamento di sicurezza, con l’intento di causare interruzioni significative nelle reti prese di mira. Il gruppo Cisco PSIRT ha pubblicato un allarme sulla sicurezza per abuso del protocollo Smart Install dopo aver identificato centinaia di migliaia di dispositivi esposti in rete senza alcuna protezione. La settimana scorsa una scansione eseguita da Cisco ha rivelato che 168.000 sistemi sono esposti online.
Cisco ha avvertito le organizzazioni che i malintenzionati potrebbero prendere di mira i dispositivi di rete non aggiornati per applicare la patch:. “Cisco è consapevole di un significativo aumento delle scansioni Internet che tentano di rilevare i dispositivi in cui, dopo aver completato l’installazione, la funzione Smart Install rimane abilitata e senza controlli di sicurezza adeguati. Ciò potrebbe lasciare i dispositivi coinvolti suscettibili di abuso della funzionalità” recita l’avviso sulla sicurezza emesso da CISCO.
L’ondata di attacchi ha colpito migliaia di dispositivi in Iran, il ministero della comunicazione e dell’information technology iraniano ha dichiarato che sono stati colpiti oltre 200.000 router in tutto il mondo, di cui 3.500 in Iran. “Gli hacker hanno attaccato le reti in diversi paesi, compresi i datacenter in Iran, dove hanno lasciato l’immagine di una bandiera americana sugli schermi insieme a un avvertimento:” Non scherzare con le nostre elezioni “, ha dichiarato il ministero iraniano dell’IT sabato. Il ministro iraniano delle tecnologie informatiche Mohammad Javad Azari-Jahromi ha aggiunto che il 95% dei router interessati nel paese è già stato ripristinato.
Secondo il giornalista Joseph Cox di Motherboard, che è riuscito a mettersi in contatto con il gruppo di attaccanti, dietro gli assalti ci sono una sorta di vigilanti che hanno sondato la rete Internet alla ricerca di dispositivi ancora vulnerabili, ma hanno preso di mira solo quelli in Russia e in Iran. “Eravamo stanchi degli attacchi degli hacker sostenuti da governi stranieri contro gli Stati Uniti e gli altri paese” ha detto a Motherboard sabato qualcuno che ha il controllo dell’indirizzo email utilizzato nel messaggio degli hacker.
A dimostrazione che non erano interessati a colpire sistemi in tutto il mondo, gli attaccanti hanno anche affermato di aver corretto la vulnerabilità nei router utilizzati da organizzazioni statunitensi e britanniche, operazione semplice che necessita dell’esecuzione del solo comando no vstack. Per verificare se la funzione Smart Install è abilitata su un router, gli amministratori possono eseguire il comando “show vstack config” sul loro switch: una risposta positiva indica che Smart Install è abilitato.
