О трех голодных злых кисах, дырах в устройствах Cisco и вреде PoC-эксплоитов

Опубликовано at 14:15
36 0

У нас тут разворачивается очередная история с тегами Cisco, дыры и спасибо экспертам за эксплоит от ленивых хакеров!

Специалисты компании Red Balloon Security сообщили о серьезной проблеме, затрагивающей множество устройств компании Cisco. Проблема получила идентификатор CVE-2019-1649 и название Thrangrycat или 😾😾😾 (не спрашивайте).

По словам экспертов, обнаруженный ими баг позволяет потенциальному злоумышленнику заразить уязвимое устройство бэкдором, причем сделать это злоумышленник может и удаленно, без того, чтобы получать физический доступ к устройству.

Thrangry – When you are Angry, Hungry and Thirsty all at the same time (Urban DIctionary)
Thrangry – когда ты хочешь есть, пить и разозлен, в одно и то же время.

Корень проблемы на этот раз кроется в работе модуля Trust Anchor — проприетарной аппаратной защите, которая присутствует практически во всех устройствах Cisco с 2013 года. Trust Anchor является своего рода эквивалентом Intel SGX или TrustZone, — он защищает устройства Cisco, контролирует целостность ПО. Так, этот компонент изолирован аппаратно и производит криптографическую верификацию загрузчика ОС, проверяет его аутентичность и целостность. Атаковать Trust Anchor, модифицировав битовый поток Field Programmable Gate Array (FPGA). Но для этого злоумышленнику понадобится root-доступ к устройству, хотя исследователи предупреждают, что даже это ограничение вряд ли остановит атакующих (например, можно объединить  😾😾😾 с RCE-багом в веб-интерфейсе Cisco IOS XE (CVE-2019-1862, который как раз дает root-доступ).

Самое интересное номер раз: хотя аналитики Red Balloon Security тестировали проблему только на маршрутизаторах Cisco ASR 1001-X, багу  😾😾😾 теоретически подвержено ЛЮБОЕ оборудование Cisco, использующее FPGA и Trust Anchor.

Самое интересное номер два: пока атак на эти уязвимости не обнаружено. Однако эксперты Red Balloon Security не только придумали багу забавное название и создали описывающий его сайт, но и опубликовали в открытом доступе понятные даже идиоту эксплоиты для обеих вышеобозначенных проблем. Дальше можно только бегать по улице в стрингах и кричать МЫ НАШЛИ НОВЫЙ БАГ, ПОСМОТРИТЕ, ВОТ ТАК ЕГО МОЖНО ИСПОЛЬЗОВАТЬ ЧТОБЫ ЛЕГКО И БЕЗ УСИЛИЙ ЛОМАТЬ ОБОРУДОВАНИЕ CISCO. В общем, атак вряд ли придется ждать долго. Скажем даже прямо, ждем в течение недели, что нам придется о них писать. Точно так же уже было два раза с начала года.

АКБ напоминает, что в начале марта мы наблюдали такую же ситуацию с многострадальными роутерами Cisco, разве что с другим порядковым номером уязвимости. События разворачивались следующим образом: в первых числах марта инженеры компании Cisco исправили в своих продуктах критическую уязвимость CVE-2019-1663. Баг затрагивает устройства Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router, а также Cisco RV215W Wireless-N VPN Router, если на них включена функция удаленного администрирования (неактивна по умолчанию).

На следующий день после релиза исправлений, эксперты Pen Test Partners, которые в прошлом году обнаружили эту проблему, вместе со своими китайскими коллегами, опубликовали подробное описание уязвимости в блоге компании. Описание, по-видимому, оказалось действительно подробным, так как сразу после публикации в блоге началась массовая атака на уязвимые роутеры Cisco.

До этого в январе – полностью аналогичная ситуация, когда защищенные WAN VPN маршрутизаторы Cisco RV320 и RV325, весьма популярные у интернет-провайдеров и компаний, стали мишенью для хакерских атак после публикации на GitHub proof-of-concept эксплоита для серьезных уязвимостей в этих моделях маршрутизаторов.

Тогда уязвимостей было две. Первая, которой присвоили код CVE-2019-1653, позволяет удаленному атакующему получить данные о конфигурации устройства (без пароля). Вторая проблема, CVE-2019-1652 давала возможность злоумышленнику удаленно внедрять и выполнять произвольные команды на уязвимом девайсе.

Инженеры Cisco исправили эти проблемы еще 23 января текущего года, выпустив патчи. Маршрутизаторы, которые не были обновлены, были радостно атакованы хакерами с помощью того самого эксплоита – причем весьма плотным, массированным фронтом, около 10-20 тысяч устройств, в основном, на территории США.

 

Подписываемся, следим @CyberAgency

Related Post

Хакеры обламывают зубы о Центробанк: замглавы ИБ регулятора об успехах в кибервойне

Опубликовано - 17.04.2019 0
Результативность киберпреступности при общем увеличении количества атак за последнее время существенно снизилась. Об этом заявил первый заместитель директора департамента информационной…

Никто не хакнет ваш мозг: «Лаборатория Касперского» и Оксфорд решают задачи будущего

Опубликовано - 20.02.2019 0
Российские программисты из «Лаборатории Касперского» совместно с учеными группы функциональной нейрохирургии Оксфордского университета после изучения потенциальных проблем, приступили к работе…

Не дай себя взломать: ЦБ защищается от хакеров

Опубликовано - 17.01.2018 0
Центробанк озаботился компьютерной безопасностью. На Гайдаровском форуме первый заместитель председателя Центрального банка РФ Ольга Скоробогатова высказалась, что обеспечение кибербезопасности теперь…