SYNful knock на ОС маршрутизаторов Cisco Systems

    Специалисты по работе с проблемами информационной безопасности компании FireEye опубликовали отчет о вредоносной модификации инфраструктурных решений от Cisco. С помощью данного backdoor-патча злоумышленники собирали огромные объемы данных и оставались незамеченными.

    / Фото Craig Sunter CC

    Данная проблема была обнаружения в ИТ-инфраструктуре целого ряда стран: от Мексики до Индии. Сам backdoor действует на уровне ОС и главным образом нацелен на хищение служебных доступов на уровне администраторов систем. Эти возможности предположительно не пропадали даром — такой подход подразумевал дистанционный доступ к зараженной инфраструктуре.

    Эксперты FireEye подчеркнули уязвимость данного элемента сетевой инфраструктуры, которая зачастую позволяет получать доступ сразу ко всему трафику компании или группы компаний. Здесь речь идет уже не только о краже учетных данных администраторов, но и потенциальном заражении других корпоративных устройств.

    Данная новость не прошла и без официального подтверждения от Cisco Systems, которые предоставили руководство для устранения проблемы.

    P.S. Другие материалы из нашего корпоративного блога:

    • +10
    • 7.2k
    • 6
    ИТ-ГРАД
    206.96
    vmware iaas provider
    Share post

    Comments 6

      0
      Интересно как они обошли проверку крипто-подписи при загрузке образа с флешки? Или на этих старых роутерах такой проверки нет?
        0
        Ее и на современных роутрах часто нет.
        В энтерпрайзной среде почему-то считается, что проблемы безопасности прошивок — overhyped, и потому не стоят внимания. Тот факт, что прошивку подавляющего большинства железок, кроме совсем уж экзотических, можно банально слить программатором и дизассемблировать в radare2, а потом залить куда-нибудь в свободное место шеллкод и собрать обратно — это давно уже не ракетная наука, до людей, принимающих решения просто не доходит. И не будет доходить, пока модуль по внедрению не добавят в Metasploit, но и тогда, возможно, они скажут, что надо лучше защищать сервера от физического доступа и такие бэкдоры — единичный случай и капля в море.
        Гром не грянет — мужик не перекрестится, традиционно.
          0
          Ну, я говорю конкретно про Cisco.
          У них достаточно давно ROMMON перед загрузкой проверяет подпись образа IOS перед его загрузкой.

          Если ему образ не понравился, то:
          Readonly ROMMON initialized
          program load complete, entry point: 0x80803000, size: 0x1b340
          program load complete, entry point: 0x80803000, size: 0x1b340
          IOS Image Load Test
          ___________________

          Signature DID NOT VERIFY


          Хотя, возможно, он просто сверяет хеш определённых областей с таковым внутри образа (как делает команда verify в IOS).
          Соответственно, если там не проверяется RSA подпись, то хеш можно подменить.
        +1
        Скрипты для поиска и определения уязвимых маршрутизаторов Cisco:
        https://github.com/fireeye/synfulknock
        Там два скрипта.
        Пример работы:

        NSE script
        nmap -sS -PN -n -T4 -p 80 --script="SYNfulKnock" 10.1.1.1/24
        
        -- | SYNfulKnock:
        -- | seq = 0x7528092b
        -- | ack = 0x75341b69
        -- | diff = 0xc123e
        -- | Result: Handshake confirmed. Checking flags.
        -- | TCP flags: 2 04 05 b4 1 01 04 02 1 03 03 05
        -- |_Result: Flags match. Confirmed infected!
        

        Python script

        python ./trigger_scanner_sniff.py -d 10.1.1.1/10.1.1.2
        2015-07-14 12:59:02,760 190 INFO Sniffer daemon started
        2015-07-14 12:59:02,761 218 INFO Sending 2 syn packets with 10 threads
        2015-07-14 12:59:03,188 110 INFO 10.1.1.1:80 - Found implant seq: 667f6e09 ack: 66735bcd
        2015-07-14 12:59:03,190 225 INFO Waiting to complete send
        2015-07-14 12:59:03,190 227 INFO All packets sent
        
          0
          Это, наверное, всё же для определения уже заражённых, а не уязвимых.
            0
            Действительно заражённых. Но текст уже не исправишь.

        Only users with full accounts can post comments. Log in, please.