Comments 6
Интересно как они обошли проверку крипто-подписи при загрузке образа с флешки? Или на этих старых роутерах такой проверки нет?
Ее и на современных роутрах часто нет.
В энтерпрайзной среде почему-то считается, что проблемы безопасности прошивок — overhyped, и потому не стоят внимания. Тот факт, что прошивку подавляющего большинства железок, кроме совсем уж экзотических, можно банально слить программатором и дизассемблировать в radare2, а потом залить куда-нибудь в свободное место шеллкод и собрать обратно — это давно уже не ракетная наука, до людей, принимающих решения просто не доходит. И не будет доходить, пока модуль по внедрению не добавят в Metasploit, но и тогда, возможно, они скажут, что надо лучше защищать сервера от физического доступа и такие бэкдоры — единичный случай и капля в море.
Гром не грянет — мужик не перекрестится, традиционно.
В энтерпрайзной среде почему-то считается, что проблемы безопасности прошивок — overhyped, и потому не стоят внимания. Тот факт, что прошивку подавляющего большинства железок, кроме совсем уж экзотических, можно банально слить программатором и дизассемблировать в radare2, а потом залить куда-нибудь в свободное место шеллкод и собрать обратно — это давно уже не ракетная наука, до людей, принимающих решения просто не доходит. И не будет доходить, пока модуль по внедрению не добавят в Metasploit, но и тогда, возможно, они скажут, что надо лучше защищать сервера от физического доступа и такие бэкдоры — единичный случай и капля в море.
Гром не грянет — мужик не перекрестится, традиционно.
Ну, я говорю конкретно про Cisco.
У них достаточно давно ROMMON перед загрузкой проверяет подпись образа IOS перед его загрузкой.
Если ему образ не понравился, то:
Хотя, возможно, он просто сверяет хеш определённых областей с таковым внутри образа (как делает команда verify в IOS).
Соответственно, если там не проверяется RSA подпись, то хеш можно подменить.
У них достаточно давно ROMMON перед загрузкой проверяет подпись образа IOS перед его загрузкой.
Если ему образ не понравился, то:
Readonly ROMMON initialized
program load complete, entry point: 0x80803000, size: 0x1b340
program load complete, entry point: 0x80803000, size: 0x1b340
IOS Image Load Test
___________________
Signature DID NOT VERIFY
Хотя, возможно, он просто сверяет хеш определённых областей с таковым внутри образа (как делает команда verify в IOS).
Соответственно, если там не проверяется RSA подпись, то хеш можно подменить.
Скрипты для поиска и определения уязвимых маршрутизаторов Cisco:
https://github.com/fireeye/synfulknock
Там два скрипта.
Пример работы:
NSE script
Python script
https://github.com/fireeye/synfulknock
Там два скрипта.
Пример работы:
NSE script
nmap -sS -PN -n -T4 -p 80 --script="SYNfulKnock" 10.1.1.1/24
-- | SYNfulKnock:
-- | seq = 0x7528092b
-- | ack = 0x75341b69
-- | diff = 0xc123e
-- | Result: Handshake confirmed. Checking flags.
-- | TCP flags: 2 04 05 b4 1 01 04 02 1 03 03 05
-- |_Result: Flags match. Confirmed infected!
Python script
python ./trigger_scanner_sniff.py -d 10.1.1.1/10.1.1.2
2015-07-14 12:59:02,760 190 INFO Sniffer daemon started
2015-07-14 12:59:02,761 218 INFO Sending 2 syn packets with 10 threads
2015-07-14 12:59:03,188 110 INFO 10.1.1.1:80 - Found implant seq: 667f6e09 ack: 66735bcd
2015-07-14 12:59:03,190 225 INFO Waiting to complete send
2015-07-14 12:59:03,190 227 INFO All packets sent
Sign up to leave a comment.
SYNful knock на ОС маршрутизаторов Cisco Systems