Cisco і Fortinet підтвердили наявність вразливостей, опублікованих хакерами The Shadow Brokers



Наприкінці минулого тижня (13 серпня) в мережі з'явилася інформація про те, що кибергруппировка The Shadow Brokers виклала на продаж архів даних, вкрадених у інший хакерської групи Equation Group. Останню багато спостерігачі та експерти з безпеки пов'язують з АНБ, зокрема передбачається, що саме її представники працювали над найбільш відомим кіберзброєю — включаючи черв'яків Stuxnet, Flame, Duqu і іншими.

Як стверджувалося, серед вкрадених у Equation Group програм містилися вразливості для продуктів Cisco, Juniper і Fortinet, а також декількох китайських виробників мережного обладнання. Тепер з'явилися підтвердження того, що хакери створили експлоїти для вразливостей в маршутиазаторах цих вендорів. Причому в продукції Cisco виявлений 0-day, бюлетень безпеки для якого появился тільки 17 серпня.

Що сталося
Угруповання Equation Group пов'язують з проникновениями в комп'ютерні мережі держустанов, телекомунікаційних компаній та інших структур у різних країнах — наприклад, «Лабораторія Касперського» в 2015 році публиковала інформацію про атаки хакерів на цілі в Росії, Іраку та Ірані. Крім того, вважається, що саме ця кибергруппировка тісно пов'язана з вірусом Stuxnet, який був розроблений за замовленням Агентства національної безпеки США для боротьби з ядерною програмою Ірану.

У свою чергу, хакери з Shadow Brokers зуміли атакувати ресурси Equation Group і отримати доступ до повного державному набору кіберзброї». Викрадачі опублікували повідомлення, в якому заявили про те, що продадуть кращі з вкрадених програм покупцеві, який запропонував найбільшу ціну.

Крім платній чатсі архіву, хакери виклали у вільний доступ його невелику частину. За заявою Shadow Brokers, якщо їм вдасться зібрати 1 млн биткоинов (~$568 млн), то для безкоштовного скачування буде викладена деяка частина вкрадених шпигунських програм.


Скріншот архіву Shadow Brokers

При чому тут Cisco та інші вендори
В якості доказу того, що хакерам дійсно вдалося викрасти «кіберзброя», представники Shadow Brokers опублікували код, який за їх твердженнями призначається для обходу систем безпеки маршрутизаторів популярних вендорів. Опрошенные журналістами експерти, які ознайомилися з представленими кодом, повідомили, що код дійсно функціональний і може вирішувати завдання маніпуляції трафіком і його перенаправлення в момент проходу через маршрутизатор.

За даними The Wall Street Journal, опублікований фрагмент коду застосуємо до маршрутизаторів компаній Cisco, Juniper і Fortinet, а також китайських вендорів Shaanxi Networkcloud Information Technology і Beijing Topsec Network Security Technology.

Пізніше представники Cisco підтвердили, що експлоїти представлені у вкраденому архіві під назвами EPICBANANA, JETPLOW і EXTRABACON використовують уразливості в програмних продуктах компанії. Під загрозою опинилися маршрутизатори ASA, файрволли і Cisco PIX Firewall Services Modules.



При цьому, якщо одна із використовуваних вразливостей (CVE-2016-6367) була усунута ще в 2011 році, то патч для другої (CVE-2016-6366) 0-day помилки появился тільки 17 серпня. Баг пов'язаний з реалізацією протоколу SNMP і може дати атакуючому root-права в системі, що дозволить здійснити выполнениепроизвольного коду (RCE).

ЗМІ повідомляють, що експлоїт Extrabacon експлуатує 0-day-вразливість, бюлетень безпеки для якої був опублікований зовсім недавно. У коді експлоїта є обмеження на його виконання згідно з версіями 8.0(2) по 8.4(4). Як з'ясували експерти Positive Technologies, на більш нових версіях — наприклад, 9.2(2), скрипт при певній доробці може успішно функціонувати.

Експерти з безпеки вже встигли проверить працездатність представлених експлойтів і подтверить, що вони дійсно можуть бути використані для здійснення кібератак.



Як захиститися
Оскільки повноцінного патча для цієї проблеми поки що не існує, для підвищення рівня безпеки, представники Cisco рекомендують використовувати правила Snort. У свою чергу, компанія Fortinet випустила власний бюлетень безпеки, а дослідники опублікували утиліту для перевірки наявності уразливості в обладнанні цього вендора.

Експерти Positive Technologies рекомендують встановити всі останні оновлення безпеки, опубліковані вендорами, а також виконати рекомендації, що містяться в бюлетенях безпеки. Крім того, захиститися від атак з використанням виявлених вразливостей можна за допомогою спеціалізованих засобів захисту. Наприклад, система контролю захищеності та відповідності стандартам MaxPatrol 8 успішно виявляє обидві описані уразливості в обладнанні Cisco.


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.