На конференции ZeroNights 2016 российские специалисты по кибербезопасности рассказали об уязвимостях в продуктах Cisco и Intel, а также о реакции компаний на уведомление об этих уязвимостях.

Российские программисты нашли дыры в продуктах Cisco и Intel

Специалисты российской компании Digital Security обнаружили серьезные уязвимости в продуктах компаний Cisco и Intel.

В число наиболее крупных открытий попали архитектурные изъяны протокола Cisco Smart Install, возможности внедрения вредоносного кода в сетевое оборудование Cisco и уязвимости в компьютерных платформах на базе процессоров и чипсетов Intel.

Проблемы протокола Cisco Smart Install

Специалист по анализу защищенности систем из компании Digital Security Александр Евстигнеев и сторонний эксперт Дмитрий Кузнецов на конференции ZeroNights 17 ноября 2016 г. заявили об архитектурных несовершенствах протокола Cisco Smart Install.

Cisco Smart Install – это клиент-серверный протокол, главный недостаток которого – отсутствие идентификации сервера со стороны клиент-устройства. Изъян позволяет скопировать конфигурацию с коммутатора-клиента, заменить startup-config на коммутаторе-клиенте и перезагрузить его, обновить IOS на коммутаторе-клиенте или выполнить произвольный набор команд в консоли устройства.


Российские ИБ-эксперты заявили об обнаружении уязвимостей в продуктах Cisco и Intel
Все это в конечном счете может передать контроль над устройством Cisco в руки злоумышленника. Чтобы убедиться в существовании уязвимости, достаточно ввести в консоли команду «show vstack config». Если последует ответ «Role: Client ...», то устройство ненадежно.

Последствия использования изъяна

Cisco Smart Install используется для работы в локальной сети, но в результате неправильной конфигурации или нарушения сегментации сети его можно увидеть из интернета. В Digital Security обнаружили более 250 тыс. таких компьютеров, преимущественно корпоративных и хранящих пароли в файле конфигурации.

Поскольку администраторы часто используют один и тот же пароль ко всем сетевым устройствам, узнавший его преступник получает возможность взломать всю сеть.

Реакция компании и меры безопасности

На уведомление Digital Security об обнаруженных проблемах протокола Cisco ответила, что это не уязвимость, а просто неправильное использование возможностей протокола, не предусматривающего аутентификации.

Пользователь, который не собирается работать с Cisco Smart Install, может отключить его, набрав в консоли команду «no vstack». Если протокол используется, следует проследить, чтобы сеть managment vlan была отделена от остальных.

Внедрение вредоносного кода в сетевое оборудование Cisco

Специалисты по анализу защищенности систем из компании Digital Security Роман Бажин и Максим Малютин рассмотрели в ходе конференции способы реализации буткитов − вредоносных программ уровня загрузчика платформы, которые позволяют контролировать все ПО сетевого оборудования Cisco.

По словам докладчиков, вредоносный код можно внедрить на самых ранних этапах загрузки платформы. Эксперты проследили весь процесс от внедрения до запуска полезной нагрузки для ASA 5525-X и Catalyst 3850. Полезная нагрузка, запущенная буткитом, дает злоумышленнику возможность получить полный удаленный контроль над системой и всем транзитном трафиком.

Реакция компании

Компания была предупреждена об опасности, после чего дополнила рекомендации конечному потребителю, опубликованные на сайте.

Из-за похожей архитектуры уязвимыми могут оказаться также межсетевые экраны ASA 5505, ASA 5510, ASA 5512-X, ASA 5515-X, ASA 5520, ASA 5540, ASA 5545-X, ASA 5550, ASA 5555-X, ASA 5580, ASA 5585-X.

Уязвимость в платформах на базе процессоров и чипсетов Intel

Александр Ермолов, специалист по анализу защищенности систем из компании Digital Security, рассказал об обнаруженной им уязвимости в компьютерных платформах, созданных на базе процессоров и чипсетов Intel. Дыра опасна для материнских плат от компаний Gigabyte и MSI, выпущенных в 2013 г. и позже, а также для отдельных моделей Lenovo, например, ThinkServer и некоторых ноутбуков.

Уязвимость позволяет создать руткит внутри BIOS, который не поддается удалению никакими средствами, в том числе аппаратными. Ею можно воспользоваться из ОС на правах администратора при помощи Intel BootGuard – технологии защиты BIOS от модификаций.

Intel BootGuard должен включаться или выключаться производителем платформы с помощью однократно программируемых фьюзов на этапе производства. Однако иногда производитель забывает довести конфигурацию до конца, и фьюзы замирают в неопределенном состоянии – они не включены и не выключены. Конфигурация Intel BootGuard остается открытой для дальнейших изменений, из-за чего и возникает уязвимость.

В результате преступник, добавивший руткит в BIOS, делает это изменение постоянным через запуск Intel BootGuard. Удалить руткит не получится, потому что для всех дальнейших изменений в BIOS понадобится подпись ключа владельца, активирующего технологию, а при внесении неподписанных изменений платформа перестанет работать.

Компании получили уведомление об угрозе. Lenovo собирается выпустить соответствующее обновление BIOS.