The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.09.2015 20:29  Зафиксирована атака с подстановкой бэкдора в маршрутизаторы Cisco

Группа исследователей из специализирующейся на компьютерной безопасности компании FireEye выявила новую вредоносную активность, связанную со скрытой модификации прошивок маршрутизаторов Cisco с внедрением бэкдора SYNful Knock, позволяющего контролировать проходящий через маршрутизатор транзитный трафик и использовать маршрутизатор как точку для проведения атак на внутреннюю сеть. В результате исследования в Сети выявлено 14 поражённых маршрутизаторов, территориально находящихся в Индии, Мексике, Филиппинах и Украине.

Известно, что атака производится как минимум на модели Cisco 1841, 2811 и 3825. Для данных моделей атакующими был подготовлен вариант прошивки, содержащий скрытый бэкдор, в обычных условиях никак себя не проявляющий и активируемый при выявлении в трафике специально оформленных управляющих пакетов, что существенно затрудняет выявление атакованных устройств. Как правило, для выявления бэкдора требуется анализ дампа прошивки. В качестве наиболее вероятного способа проникновения на маршрутизатор называется подбор типовых паролей или перехват параметров доступа в результате проведения других атак.

Бэкдор обладает достаточно широкими возможностями, в том числе позволяет загружать модули, расширяющие его функциональность и позволяющие применять различные виды атак. Для активации модуля на 80 сетевой порт (HTTP) маршрутизатора отправляется специально оформленный TCP SYN-пакет. Модули могут представлять собой как независимые исполняемые блоки кода, так и обработчики различной функциональности Cisco IOS. Например, через подобный модуль реализована возможность входа на маршрутизатор по протоколу telnet с предопределённым злоумышленниками паролем. Бэкдор размещается с внесением изменений в прошивку, что позволяет сохранить его работоспособность после перезагрузки.

Компания Cisco подтвердила наличие поражённых устройств и опубликовала сигнатуры (Snort Rule SID:36054) для выявления и блокирования вредоносной активности. Кроме того, отмечено, что в августе был представлен отчёт о выявлении похожих атак, в результате которых злоумышленники осуществляли замену загрузчика Cisco IOS (ROMMON).

Дополнение: выявлено ещё 79 поражённых маршрутизаторов Cisco, в том числе 25 у одного из американских провайдеров. Для выявления установки бэкдора предлагается несколько способов, в том числе использование специального NSE-скрипта и nmap для отправки проверочных пакетов, на которые реагирует бэкдор.

  1. Главная ссылка к новости (https://www.fireeye.com/blog/t...)
  2. OpenNews: Прослушивание трафика на Cisco, атакуя через SNMP и не взирая на ACL
  3. OpenNews: Техника атаки на Cisco через SNMP
  4. OpenNews: Перепаковка IOS или нестандартное использование маршрутизаторов Cisco
  5. OpenNews: Демонстрация эксплуатации переполнения буфера для выполнения кода на маршрутизаторе Cisco
  6. OpenNews: Компания Cisco открыла OpenAppID, систему выявления трафика приложений
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cisco
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, A.Stahl, 22:42, 15/09/2015 [ответить] [смотреть все]
  • +17 +/
    А раньше на обычные ширпотребные мамки лепили джампер, запрещающий изменение БИОСа. Но раньше и трава была зеленее и милиция добрее.
     
     
  • 2.6, klalafuda, 23:22, 15/09/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +5 +/
    Раньше и на флешках был крыжик read only А сейчас - пишите люди добрые ничего... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Аноним, 00:09, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    Так и сейчас у большинства чипов флеша есть пин _WP, хардварно вырубающий запись... весь текст скрыт [показать]
     
     
  • 4.72, pavlinux, 16:00, 16/09/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    > А уж куда он подключен в конкретной системе ...

    К серверу АНБни

     
     
  • 5.92, Аноним, 20:54, 16/09/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Что, павлуша, теперь анбня к тебе и через шапочку из фольги достучалась А ты по... весь текст скрыт [показать]
     
  • 4.99, Айнанимм, 06:54, 17/09/2015 [^] [ответить] [смотреть все]  
  • +/
    Принесли мне както на ремонт фильдоперсовую флешку с какимето там стразами - у... весь текст скрыт [показать]
     
  • 3.12, Аноним, 00:20, 16/09/2015 [^] [ответить] [смотреть все]  
  • +8 +/
    > Раньше и на флешках был крыжик 'read only'. А сейчас - пишите
    > люди добрые ничего не жалко.

    И на вебках шторки были...

     
     
  • 4.17, Fracta1L, 07:25, 16/09/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    И хакеры стучались, прежде чем войти.
     
  • 4.19, iPony, 08:16, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну так самому лепить надо С ноутбуком вот просто, на смартфоне к сожалению слож... весь текст скрыт [показать]
     
  • 4.28, Аноним, 10:13, 16/09/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    И бензин по 25 и бакс по 30.
     
     
  • 5.34, daemontux, 11:46, 16/09/2015 [^] [ответить] [смотреть все]  
  • +7 +/
    > И бензин по 25 и бакс по 30.

    Кто пустил школоту на opennet?
    До августа 98 года доллар был по 6р

     
     
  • 6.35, daemontux, 11:46, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    И таки да обидеть ни кого не хочу ... весь текст скрыт [показать]
     
  • 6.74, pavlinux, 16:02, 16/09/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Студни detected - Курс 1 доллара на 1 мая 1985 года - 0 60 копеек ... весь текст скрыт [показать]
     
     
  • 7.76, Аноним, 16:07, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    Небось с сайта ЦБ взял, студень )
     
  • 6.96, linuxisnotunixitisawindows, 23:02, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    А в 1400-м доллара ваще не было.
     
  • 4.93, Аноним, 20:54, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    > И на вебках шторки были...

    С розовыми крокодильчиками.


     
  • 3.97, VaNO, 23:27, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    Пришлось правда из штатов заказывать Выключатель там хлипковат, думаю еще пол г... весь текст скрыт [показать]
     
  • 2.21, тигар, 09:09, 16/09/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    раньше и наклейки были, чтобы на дискетки 5 25 писать нельзя было при заклееном... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, anonymous, 12:35, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    Раньше наклейки были чтобы PROM не стирался.
     
     
  • 4.75, pavlinux, 16:06, 16/09/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Раньше надо было идти в первый отдел, потом к ведущему он к главному инженеру, ... весь текст скрыт [показать]
     
     
  • 5.91, древний Аноним, 20:28, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    А еще раньше - вообще делать новую глиняную дощечку А еще раньше - топать до... весь текст скрыт [показать]
     
  • 1.2, Аноним, 22:47, 15/09/2015 [ответить] [смотреть все]  
  • –20 +/
    это же главные хостеры порнухи и прочей оппозиции ... весь текст скрыт [показать]
     
  • 1.3, Аноним, 23:03, 15/09/2015 [ответить] [смотреть все]  
  • +/
    И что? Ни ключи ни сертификаты не помогли? Джампер рулит?
     
  • 1.4, Аноним, 23:13, 15/09/2015 [ответить] [смотреть все]  
  • +1 +/
    Ребята опередили АНБ?
     
     
  • 2.13, _KUL, 00:38, 16/09/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Это похоже они и есть.
     
     
  • 3.18, for mother russia, 08:06, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    Судя по выбору hardcoded-пакетов авторизации и отсутствию стелс-механизмов, это ... весь текст скрыт [показать]
     
     
  • 4.23, абвгдейка, 09:30, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    ну ок - контора, нанятая АНБ ... весь текст скрыт [показать]
     
     
  • 5.94, Аноним, 20:57, 16/09/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    > ну ок - контора, нанятая АНБ :)

    Не, это путинский след, чувак.


     
  • 5.100, Есюки, 08:08, 17/09/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Фольги, срочно фольги!
     
  • 1.5, grec, 23:16, 15/09/2015 [ответить] [смотреть все]  
  • +2 +/
    Как там акции циско? Еще не упали?
     
     
  • 2.8, тыц, 23:37, 15/09/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    С чего им падать-то Если кто-то получит доступ к железке, то сможет поставить м... весь текст скрыт [показать] [показать ветку]
     
     
     
    Часть нити удалена модератором

  • 4.15, тыц, 03:01, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    И как это относится к текущему случаю Смысл данной уязвимости практически так... весь текст скрыт [показать]
     
  • 1.7, Аноним, 23:37, 15/09/2015 [ответить] [смотреть все]  
  • +/
    ещё и хрен знает, где именно дыра, поди кто-то анбшный бекдор пронюхал... весь текст скрыт [показать]
     
     
  • 2.37, Аноним, 12:30, 16/09/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Спецслужбы в сотрудничестве с производителями делали дырявые сетевые железки и д... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноним, 00:05, 16/09/2015 [ответить] [смотреть все]  
  • +2 +/
    Цыска наносит ответный удар А я то думал - нафига они его к рукам прибрали ... весь текст скрыт [показать]
     
  • 1.16, Нанобот, 07:19, 16/09/2015 [ответить] [смотреть все]  
  • +/
    В cisco до сих пор ниасилили запретить запуск неподписаного кода?
     
     
  • 2.24, Аноним, 09:38, 16/09/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так может ключик кто-то из уполномоченных в кафе забыл :)
     
  • 2.29, Клыкастый, 11:18, 16/09/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    как у всех фанатов security by obscurity типа прошивки оне могут взять только ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, Аноним, 11:36, 16/09/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Как пишутся - известно, развидеть бы такое.


     
  • 2.57, Аноним, 14:20, 16/09/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Пусть и не начинают. И да, никакого гита мы не знаем, только перфорс.
     
     
  • 3.60, Andrey Mitrofanov, 14:38, 16/09/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Дм уж PE-exe-шники, подписываемые у м-с-а это забавно Пока издаля и не начнёт ... весь текст скрыт [показать]
     
     
  • 4.69, Аноним, 15:19, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    А что, один из индусов в сиске нам рассказывал, что он фиг знает сколько лет наз... весь текст скрыт [показать]
     
  • 1.36, VolanD, 12:26, 16/09/2015 [ответить] [смотреть все]  
  • +1 +/
    Чет я не понял. Чуваки написали ПО с бэкдором, которое поставили на циску и оно там завелось. Т.е. это бекдор не в родной прошивке, а в прошивке, которую сделали они? Если так- и чо? Во-первых, им еще нужно поставить ее на мою железку. А если им это и удалось, то они в принципе то и так могут делать что хотят, раз им удалось попасть на нее. Я чет не понял. Да и к тому же, с таким же успехом можно подставить любого другого вендора, если еще к тому же под его железку есть опенкод прошивка...
     
     
  • 2.78, клоун, 16:17, 16/09/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    скрытая модификация прошивок позволяет контролировать проходящий траффик... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.88, тыц, 17:28, 16/09/2015 [^] [ответить] [смотреть все]  
  • +/
    И всё это только после того как удастся УЖЕ поиметь доступ к девайсу и поставить... весь текст скрыт [показать]
     
  • 1.101, un4me, 11:37, 17/09/2015 [ответить] [смотреть все]  
  • +/
    Господа, а где бы взять скрипты NSEшные для сканирования nmap'ом, в блоге описание есть а файлов нет...
     
     
  • 2.102, un4me, 11:43, 17/09/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Сори перечитал все тут https://github.com/fireeye/synfulknock/tree/master/NSE
     
  • 1.103, Барак Обама, 16:11, 17/09/2015 [ответить] [смотреть все]  
  • +/
    Акции Juniper резко поднялись в цене.
     
     
  • 2.105, Anonplus, 19:50, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В джуниперах сегодня тоже нашли бекдор. Причем, "из коробки" ;)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor