Компания Cisco выпустила обновления прошивок для продуктов на базе платформ IOS и IOS XE, в которых устранена серия опасных уязвимостей (CVE-2017-6736 - CVE-2017-6744), позволяющих выполнить свой код и получить полный контроль над устройством или инициировать перезагрузку через отправку специально оформленного пакета по протоколу SNMP. Атака возможна только при наличии у злоумышленника возможности напрямую обратиться к устройству по SNMP при обработке устройством одного из следующих MIB (активированы по умолчанию при включении SNMP, для проверки можно использовать команду "show snmp mib"): ADSL-LINE-MIB, ALPS-MIB, CISCO-ADSL-DMT-LINE-MIB, CISCO-BSTUN-MIB, CISCO-MAC-AUTH-BYPASS-MIB, CISCO-SLB-EXT-MIB, CISCO-VOICE-DNIS-MIB, CISCO-VOICE-NUMBER-EXPANSION-MIB, TN3270E-RT-MIB. В качестве обходного пути защиты рекомендуется исключить указанные MIB при помощи команды "snmp-server view". Проблема проявляется независимо от версии SNMP (1, 2c и 3), но для атаки на системы с SNMP 1 и 2c злоумышленнику достаточно
Компания Cisco выпустила обновление прошивки, в котором устранена критическая уязвимость (CVE-2017-3881), позволяющая получить доступ к коммутаторам на базе Cisco IOS и Cisco IOS XE, поддерживающим протокол CMP (Cluster Management Protocol). Атакующий может получить полный контроль над коммутатором, передав специфичный набор опций CMP при обращении к устройству через telnet. В том числе уязвимости подвержены популярные модели коммутаторов Cisco Catalyst 29xx, 35xx, 37xx, 45xx, 49xx. Уязвимость подтверждена в 318 моделях коммутаторов Cisco и позволяет без аутентификации выполнить любые команды в интерфейсе командной строки, при наличии у атакующего доступа к коммутатору по протоколу telnet. Проблема вызвана ошибкой в реализации протокола CMP, предназначенного для построения кластеров коммутаторов, и связана с тем, что опции CMP могли использоваться не только для локально подключенных между собой устройств, но и при внешнем запросе по сети. В качестве обходного пути защиты можно ограничить доступ к 23
В браузерном дополнении, устанавливаемом при использовании платформы для проведения web-конференций Cisco WebEx, выявлена показательная уязвимость, позволяющая при открытии в браузере специально оформленной страницы выполнить код на уровне операционной системы с правами текущего пользователя. Платформа WebEx получила большое распространение в корпоративной среде и насчитывает более 20 млн пользователей. Уязвимость вызвана наличием предопределённого идентификатора, позволяющего передать дополнению команды (возможность используется для встраивания на сайты виджетов WebEx). В частности, команды можно передать через запрос со специально оформленной страницы, обращение с которой может быть скрыто от пользователя путем применения блоков iframe. Так как дополнение реализовано в виде надстройки над нативным кодом, вызываемым при помощи API nativeMessaging, атакующие могут добиться выполнения вызовов nativeMessaging от имени дополнения и организовать выполнение произвольного кода на уровне системы. Эксплоит
Хакерская группа "Equation Group" опубликовала архив, содержащий около 250 Мб файлов с различными эксплоитами и приложениями для совершения атак, по заявлению группы полученной в результате утечки информации из Агентства Национальной Безопасности США (АНБ). В основном эксплоиты направлены на создание закладок и совершение атак на оборудование Cisco PIX/ASA, Juniper Netscreen и Fortigate, как правило используя zero-day уязвиомости. Несмотря на то, что эксплоиты в основном касаются устаревшего и выведенного из эксплуатации оборудования, некоторые проблемы оказались актуальными и в настоящее время. В частности, по мотивам обнародованной информации компания Cisco устранила в своих продуктах несколько уязвимостей, позволяющих удалённо выполнить код на оборудовании Cisco. В том числе устранена критическая уязвимость (CVE-2016-1457), позволяющая получить доступ к интерфейсу Cisco Firepower Management Center и Cisco ASA 5500-X с сервисами FirePOWER с правами root без прохождения аутентификации через отправку
Компания Cisco анонсировала релиз TeslaCrypt Decryption Tool 1.0, инструментария для расшифровки файлов, зашифрованных вредоносным ПО, в том числе различными версиями вымогательского ПО TeslaCrypt. В новой версии добавлен алгоритм факторизации для реконструкции закрытого ключа, добавлена поддержка TeslaCrypt 3.x и 4.x, реализованы средства верификации ключей, импортированы перехваченные ключи управляющих серверов TeslaCrypt 3.x/4. Исходные тексты пакета опубликованы под лицензией GPLv2, что демонстрирует не только приверженность Cisco заявлениям, данным при покупке компании Sourcefire (Snort и ClamAV), но и желание развивать новые проекты в форме свободного ПО.
В межсетевых экранах Cisco ASA выявлена критическая уязвимость (CVE-2016-1287), позволяющая неаутентифицированному внешнему злоумышленнику инициировать перезагрузку устройства или выполнить свой код в системе. Проблема вызвана переполнением буфера в реализации протоколов IKE (Internet Key Exchange), которое может быть эксплуатировано отправкой специально оформленного UDP-пакета. В результате атаки злоумышленник может получить полный контроль над устройством. Уязвимость присутствует в сериях Cisco ASA 5500, Cisco ASA 5500-X, Cisco ASA Services Module для Cisco Catalyst 6500/7600, Cisco ASA 1000V, Cisco ASAv, Cisco Firepower 9300 ASA и Cisco ISA 3000. Проблема проявляется только если в устройствах включена обработка VPN-соединений с использованием протоколов IKEv1 или IKEv2, например, поднят LAN-to-LAN IPsec VPN, L2TP-over-IPsec, настроено подключение клиентов через IPsec VPN или используется IKEv2 AnyConnect. VPN на базе SSL проблема не затрагивает. Проверить подверженность системы уязвимости можно командой
Группа исследователей из специализирующейся на компьютерной безопасности компании FireEye выявила новую вредоносную активность, связанную со скрытой модификации прошивок маршрутизаторов Cisco с внедрением бэкдора SYNful Knock, позволяющего контролировать проходящий через маршрутизатор транзитный трафик и использовать маршрутизатор как точку для проведения атак на внутреннюю сеть. В результате исследования в Сети выявлено 14 поражённых маршрутизаторов, территориально находящихся в Индии, Мексике, Филиппинах и Украине. Известно, что атака производится как минимум на модели Cisco 1841, 2811 и 3825. Для данных моделей атакующими был подготовлен вариант прошивки, содержащий скрытый бэкдор, в обычных условиях никак себя не проявляющий и активируемый при выявлении в трафике специально оформленных управляющих пакетов, что существенно затрудняет выявление атакованных устройств. Как правило, для выявления бэкдора требуется анализ дампа прошивки. В качестве наиболее вероятного способа проникновения на маршрутизатор
Компания Cisco представила новый открытый проект OpenSOC, в рамках которого развивается высокомасштабируемый фремворк для анализа больших объёмов информации о трафике с целью выявления возможных атак, обнаружения утечек закрытых данных и проведения расследования инцидентов, связанных с безопасностью. Система позволяет в режиме реального времени организовать анализ, выявление аномалий и генерацию предупреждений для трафика уровня дата-центра, интенсивность которого составляет миллионы пакетов в секунду. Наработки проекта опубликованы под лицензией Apache 2. Для организации работы хранилища используются такие открытые проекты, как Apache Hadoop и Elasticsearch. Основные компоненты фреймворка: Механизм для захвата, хранения и нормализации любых типов данных телеметрии (данных о трафике), поступающих c экстремально высокой интенсивностью (миллионы пакетов в секунду); Система для передачи полученных потоков данных в различные блоки обработки для анализа, расширенных вычислений и принятия решений;
Компания Cisco открыла исходные тексты экспериментального предметно-ориентированного блочного шифра FNR (Flexible Naor and Reingold), предназначенного для шифрования таких объектов, как номера кредитных карт, IPv6/IPv4/MAC-адреса, номера сетевых портов, короткие строки и числовые значения. Код библиотеки с реализацией FNR опубликован под лицензией LGPLv2.1. Ключевым назначением FNR является обеспечение анонимности данных телеметрии и записей в логах. Отличительной чертой FNR от таких шифров, как AES, является отсутствие необходимости дополнения блоков до номинального размера (padding), что позволяет обеспечить неизменность размера данных до и после шифрования. Указанная особенность FNR позволяет интегрировать поддержку шифрования в существующие системы, рассчитанные на фиксированные размеры полей, например, в NetFlow коллекторы. FNR также можно использовать для шифрования фиксированных полей в пакетах и реализации систем шифрования данных в БД, подобных cryptdb. В частности, при использовании AES 256
Компания Cisco представила новую открытую платформу для разработки межсетевых экранов уровня приложений - OpenAppID, позволяющую определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений. Открытие OpenAppID подтверждает обещание Cisco о намерении усилить участие в открытых проектах и сохранить налаженные каналы взаимодействия с сообществом после поглощения компании Sourcefire и получения контроля над свободными продуктами ClamAV и Snort. Основу OpenAppID составляет основанный на Lua язык и набор функций, предназначенные для описания признаков использования протоколов или приложений (в большинстве случаев определяется специфичный для приложения шаблон и описание в каком трафике его нужно искать). Язык даёт возможность создавать детекторы, которые на основании имеющихся правил сопоставляют трафик с идентификаторами приложений. Для создания и публикации детекторов проектом предоставляется набор инструментов. Для анализа трафика