В 300 продуктах Cisco подтвердились критические уязвимости, о которых написал WikiLeaks

Безопасность
мобильная версия
, Текст: Валерия Шмырова

Cisco самостоятельно отыскала в своей продукции уязвимость, упомянутую в документах ЦРУ, которые недавно опубликовал WikiLeaks. Брешь присутствует в 300 моделях коммутаторов, через нее можно взломать операционные системы Cisco IOS и Cisco IOS XE. Патча пока нет – чтобы обезопасить устройство, приходится отключать один из протоколов.


Cisco нашла «дыры» в коммутаторах

Компания Cisco нашла в своей продукции уязвимость, о которой шла речь в документах Центрального разведывательного управления (ЦРУ) США, опубликованных в начале марта ресурсом WikiLeaks. Изъян присутствует в 318 различных моделях коммутаторов, выпущенных вендором. В основном это представители модельного ряда Cisco Catalyst и промышленные коммутаторы Cisco IE. Патча для уязвимости пока нет.

Технические особенности

Речь идет о так называемой уязвимости «нулевого дня», которая носит критический характер. Она распространяется на операционные системы Cisco IOS и Cisco IOS XE. Используя брешь, посторонний пользователь может удаленно перезапустить систему или получить привилегию исполнения кода, что даст ему контроль над устройством.

Уязвимость содержится в протоколе управления кластерами (CMP), с помощью которого передаются сигналы и команды между членами кластера. Подразумеваются кластеры, работающие по протоколам Telnet или SSH. Собственно, изъян заключается именно в специфических для CMP параметрах протокола Telnet – их использование не может быть ограничено пределами кластера, они являются восприимчивыми для любого подключения к устройству по Telnet. Еще одна проблема – неправильная обработка дефектных параметров. Данные параметры настроены по умолчанию – они действуют даже в том случае, если в конфигурации устройства нет соответствующих команд. Уязвимость срабатывает, когда хакер отсылает неверные параметры во время установления сессии с коммутатором по Telnet с использованием протоколов IPv4 или IPv6.

Меры безопасности

Пока нет патча, компания советует в качестве меры безопасности отключить протокол Telnet. Если пользователь не может или не хочет этого делать, ему следует воспользоваться списками управления доступом к инфраструктуре (iACL), чтобы снизить вероятность атаки.

По данным WikiLeaks, ЦРУ целенаправленно занималось поиском уязвимостей в продуктах Cisco

В Cisco IOS можно не проверять, присутствует ли там подсистема CMP, но такая проверка имеет смысл в Cisco IOS XE. Обе системы также необходимо проверить на предмет допущения входящих Telnet-подключений. Только при положительном результате этих двух проверок Cisco IOS XE может считаться уязвимой.

Чтобы определить, присутствует ли подсистема CMP в запущенном программном образе, следует выполнить команду show subsys class protocol | include ^cmp из командной строки привилегированного CLI на устройстве. Проверка входящих Telnet-подключений выполняется с помощью команды show running-config | include ^line vty|transport input. Если последняя проверка покажет, что подключение через виртуальные терминалы возможно исключительно через протокол SSH, устройство находится в безопасности.

Проект Vault 7

В начале марта 2017 г. ресурс WikiLeaks приступил к публикации массива утекших документов ЦРУ, которые попали в руки владельцев сайта. Проект получил название Vault 7. По объему и значимости его сравнивают с разоблачениями Эдварда Сноудена (Edward Snowden) в 2013 г. Первый опубликованный пакет данных Vault 7 называется Year Zero и содержит более 8,7 тыс. файлов. В них, помимо прочего, присутствует информация о хакерских инструментах ЦРУ.

Судя по документам, ЦРУ ведет работу по поиску уязвимостей в различных программных продуктах, что позволяет ведомству их взламывать. В список попали не только высокоуровневые системы типа Windows, iOS и Android, но и более простые прошивки, в том числе те, которые Cisco использует в своих роутерах, а Samsung, например, в умных телевизорах.

WikiLeaks не приводит достаточной технической информации, которая дала бы возможность производителям ПО быстро обнаружить и ликвидировать эти уязвимости. Однако ресурс утверждает, что располагает такими данными, и обещает продолжить публикацию.

В настоящий момент WikiLeaks ведет переговоры с Google, Apple, Microsoft и другими вендорами, упомянутыми в документах. По данным издания Motherboard, владелец сайта Джулиан Ассандж (Julian Assange) выдвигает компаниям условия, на которых раскроет технические подробности. Срок раскрытия деталей составляет 90 дней. Пока что производители самостоятельно ищут упомянутые в документах уязвимости. В случае Cisco этот поиск увенчался успехом, однако ликвидировать брешь компания пока не смогла.