Спецпроекты

Безопасность Техника

Почтовые шлюзы Cisco можно легко взломать тремя способами и разослать зараженные письма

Проблемы в модулях сканирования вредоносного ПО, используемых в почтовых шлюзах Cisco, привели к тому, что с помощью специально подготовленных сообщений можно доставлять вредоносные вложения в разные почтовые клиенты. Работоспособность методов эксплуатации зависит от целевого почтового клиента.

Без особых усилий

Защиту почтовых шлюзов Cisco Secure Email Gateway (CSEG) можно обойти и с помощью специально подготовленных сообщений доставить вредоносы в целевую систему, не прилагая особых усилий.

Об этом сообщил в рассылке Full Disclosure анонимный эксперт по безопасности. По его словам, уже существуют рабочие эксплойты для использования уязвимости в CSEG.

Удаленный злоумышленник может обойти шлюзы Cisco Secure Email, используя устойчивость к ошибкам и различные функции декодирования MIME, реализованные в почтовых клиентах.

MIME (Multipurpose Internet Mail Extensions, многоцелевые расширения интернет-почты) — это стандарт, описывающий передачу различных типов данных по электронной почте, а также, в общем случае, спецификация для кодирования информации и форматирования сообщений таким образом, чтобы их можно было пересылать через интернет.

Три метода

Эксперт описал сразу три метода обхода защиты шлюза, срабатывающие против распространенных почтовых клиентов, в том числе Outlook, Thunderbird, Mutt и Vivaldi.

cisco600.jpg
Защита шлюза Cisco обходится тремя методами

Первый метод назван Cloaked Base64 («Замаскированный Base64»). Base64 — это стандарт кодирования двоичных данных при помощи 64 символов ASCII. Он широко используется в электронной почте для представления бинарных файлов в тексте письма.

Метод предполагает вставку символов, обозначающих переносы строк (CR+LF) в случайных местах так, чтобы строки имели разную длину, но при этом чтобы «группы из четырех символов base64... располагались рядом». Кроме того, перед заголовком content-transfer-encoding во вложении необходимо вставить другой заголовок — Content-Transfer-Encoding: quoted-printable. И удалить любые заголовки content-length, если они есть. Все это нарушает стандарт MIME и позволяет обойти фильтры в шлюзе.

Архивный ZIP-файл с вирусом Eicar был успешно доставлен на целевую систему с помощью письма, подготовленного по вышеописанному методу. Удалось обойти шлюзы Cisco с установленными версиями ее операционной системы AsyncOS 14.2.0-620, 14.0.0-698 и др. Проблема затрагивает 64-битную версию Outlook под Microsoft 365 MSO (версия 2210, 16.0.15726.20070) , Mozilla Thunderbird 91.11.0 (64 бит), Vivaldi 5.5.2805.42 (64 бит), Mutt 2.1.4-1ubuntu1.1 и несколько других.

Второй метод — yEnc Encoding (кодирование yEnc). yEnc — это популярная схема кодирования двоичных файлов в текстовые, применяемая преимущественно пользователями Usenet. Также она используется при отправке больших двоичных файлов по электронной почте. Как выяснилось, если вредоносное вложение закодировано через yEnc, некоторые почтовые клиенты, в частности Mozilla Thunderbird 91.11.0, пропустят и письмо, и вредоносное вложение.

Третий метод — Cloaked Quoted-Printable — сработал против Vivaldi и Mutt. QP (QP-кодировка) — это метод кодирования, использующий семибитные печатаемые символы ASCII. Используется для передачи восьмибитных данных по семибитному пути данных в электронной почте. Метод почти идентичен первому, с той лишь разницей, что роли base64 и QP меняются местами. Каждый байт вредоносного вложения должен быть закодирован через QP.

Со своей стороны, компания Cisco опубликовала бюллетень об уязвимости, уточнив, что речь идет о проблемах в сканирующих компонентах, разработанных Sophos и McAfee: именно они позволяют неавторизованному злоумышленнику обходить отдельные фильтры, направленные на отсеивание вредоносных программ.

Проблема затрагивает устройства Cisco в штатной конфигурации.

Расхожие ошибки

Исследователь, описавший методы обхода фильтров, отметил, что в них нет ничего нового, и что похожие проблемы встречались в продуктах нескольких других вендоров. Эксплойты уже входят в общедоступный инструмент тестирования MIME.

С помощью определенной незадокументированной функции в шлюзе Cisco можно заблокировать некорректные расширения MIME, отметил эксперт, но это срабатывает против далеко не всех методик, представленных в вышеприведенном инструменте.

«Наибольшую озабоченность вызывает тот факт, что эксплуатация этих ошибок не требует больших усилий, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Это означает, что желающих будет много, особенно теперь, когда вся информация раскрыта. Устранена ли уязвимость до конца, из бюллетеня Cisco не понятно. Впрочем, даже если это еще не так, обновления вряд ли заставят себя ждать».

Роман Георгиев

Короткая ссылка