Исследователи безопасности из принадлежащей FireEye компании Mandiant обнаружили ранее неизвестные атаки на машрутизаторы Cisco, позволяющие злоумышленникам собирать большие объёмы данных и при этом оставаться незаметными для популярных средств защиты.

Бэкдор SYNful knock был обнаружен в 14 маршрутизаторах, расположенных в четырех странах, включая Украину, Филиппины, Мексику и Индию. Закладки поддерживают загружаются каждый раз при включении маршрутизатора.



В ходе атаки злоумышленники не эксплуатируют какие-либо уязвимости программного обеспечения маршрутизатора, а используют похищенные легитимные учетные данные и стандартные пароли администратора. Бэкдор подменяет образ операционной системы Cisco IOS, на экземпляр, позволяющий осуществлять загрузку функциональных модулей из интернета. Кроме того, бэкдор содержит специальный пароль, позволяющий получать удаленный доступ к устройству через консоль или telnet.



Функции аутентификации, в которых может использоваться секретный бэкдор-пароль

Бэкдор SYNful knock: Исследователи обнаружили новую атаку на маршрутизаторы Cisco

Модули инициализируется с помощью HTTP (не HTTPS) и специальных TCP-пакетов, отправляемых на интерфейс маршрутизатора.

По словам исследователей из Mandiant обнаружение бэкдора в сети сигнализирует о возможной компрометации различных систем и наличии других закладок. Поскольку маршрутизаторы обычно работают вне периметра защиты межсетевых экранов и других механизмов защиты, бэкдоры для таких устройств особенно опасны. С их помощью злоумышленники могут не только анализировать трафик внутри сети организации, но и инфицировать другие устройства, подключенные к ней.

По данным исследователей, злоумышленники могли использовать маршрутизаторы компаний-жертв для атак на ряд промышленных и правительственных организацией. Среди скомпрометированных устройств Cisco маршрутизаторы 1841, 2811 и 3825, однако бэкдор SYNful knock потенциально может использоваться и для атаки на устройства других производителей.

Атака, обнаруженная экспертами Mandiant, похожа на метод, описанный самими специалистами Cisco в августе текущего года. Тогда компания предупреждала о серии атак, в ходе которых злоумышленники подменяют прошивку ROMMON (ROM Monitor) на вредоносную копию.

Представители Cisco Systems уже подтвердили наличие проблем и опубликовали инструкцию по обнаружению и блокировке атак.

На сегодня все, спасибо за внимание! Не забывайте знакомиться с новыми материалами в первом блоге о корпоративном IaaS.

Комментарии (6)


  1. blind_oracle
    17.09.2015 15:06

    Интересно как они обошли проверку крипто-подписи при загрузке образа с флешки? Или на этих старых роутерах такой проверки нет?


    1. CodeRush
      17.09.2015 16:01

      Ее и на современных роутрах часто нет.
      В энтерпрайзной среде почему-то считается, что проблемы безопасности прошивок — overhyped, и потому не стоят внимания. Тот факт, что прошивку подавляющего большинства железок, кроме совсем уж экзотических, можно банально слить программатором и дизассемблировать в radare2, а потом залить куда-нибудь в свободное место шеллкод и собрать обратно — это давно уже не ракетная наука, до людей, принимающих решения просто не доходит. И не будет доходить, пока модуль по внедрению не добавят в Metasploit, но и тогда, возможно, они скажут, что надо лучше защищать сервера от физического доступа и такие бэкдоры — единичный случай и капля в море.
      Гром не грянет — мужик не перекрестится, традиционно.


      1. blind_oracle
        17.09.2015 16:12

        Ну, я говорю конкретно про Cisco.
        У них достаточно давно ROMMON перед загрузкой проверяет подпись образа IOS перед его загрузкой.

        Если ему образ не понравился, то:

        Readonly ROMMON initialized
        program load complete, entry point: 0x80803000, size: 0x1b340
        program load complete, entry point: 0x80803000, size: 0x1b340
        IOS Image Load Test
        ___________________

        Signature DID NOT VERIFY


        Хотя, возможно, он просто сверяет хеш определённых областей с таковым внутри образа (как делает команда verify в IOS).
        Соответственно, если там не проверяется RSA подпись, то хеш можно подменить.


  1. chemtech
    18.09.2015 07:04
    +1

    Скрипты для поиска и определения уязвимых маршрутизаторов Cisco:
    https://github.com/fireeye/synfulknock
    Там два скрипта.
    Пример работы:

    NSE script

    nmap -sS -PN -n -T4 -p 80 --script="SYNfulKnock" 10.1.1.1/24
    
    -- | SYNfulKnock:
    -- | seq = 0x7528092b
    -- | ack = 0x75341b69
    -- | diff = 0xc123e
    -- | Result: Handshake confirmed. Checking flags.
    -- | TCP flags: 2 04 05 b4 1 01 04 02 1 03 03 05
    -- |_Result: Flags match. Confirmed infected!
    

    Python script

    python ./trigger_scanner_sniff.py -d 10.1.1.1/10.1.1.2
    2015-07-14 12:59:02,760 190 INFO Sniffer daemon started
    2015-07-14 12:59:02,761 218 INFO Sending 2 syn packets with 10 threads
    2015-07-14 12:59:03,188 110 INFO 10.1.1.1:80 - Found implant seq: 667f6e09 ack: 66735bcd
    2015-07-14 12:59:03,190 225 INFO Waiting to complete send
    2015-07-14 12:59:03,190 227 INFO All packets sent
    


    1. blind_oracle
      18.09.2015 10:29

      Это, наверное, всё же для определения уже заражённых, а не уязвимых.


      1. chemtech
        18.09.2015 10:48

        Действительно заражённых. Но текст уже не исправишь.